攻撃者が試すパスワードの上位が明らかに–デフォルトの認証情報は変更を

今回は「攻撃者が試すパスワードの上位が明らかに–デフォルトの認証情報は変更を」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Rapid7の研究者らが、企業ネットワークのリモートアクセスに使用される、2つの主要なプロトコルの管理者パスワードについて調査したところ、セキュリティが懸念される結果が明らかになった。

 Remote Desktop Protocol(RDP)とSecure Shell(SSH)は、クラウド上の仮想マシンを管理するために広く使用されているプロトコルだ。クラウド導入とリモートワークが以前に増して普及する中、こうしたシステムを狙う攻撃者の手口を知ることは重要だ。

 Rapid7によると、RDPで最も一般的なユーザー名のトップ3は、「administrator」「user」「admin」だった。

 SSHで最も普及しているユーザー名は、「root」「admin」「nproc」だった。そして、SSHとRDPで頻繁に使用されているパスワードは、「admin」「password」「123456」であることが分かった。

 Rapid7は2022年9月9日までの1年間に、同社が仕掛けたハニーポット(おとり)のRDPとSSHのネットワークを侵害するのに攻撃者が使った認証情報を調査した。

 これらのハニーポットは、同社の「Project Heisenberg」の一環として設置されているもので、ボットや人間の攻撃者が同社のネットワークに接続できるようになっている。この間、ハニーポットに数千万回の接続の試みがあり、50万件のユニークパスワードが観測された。

 そして、ハニーポットで収集したデータセットを、ソーシャルゲームサイト「RockYou」の80億件のユーザー名およびパスワードのリストと比較した。このリストは、ペンテスター(侵入テスト担当者)のほか、攻撃者によって使用されている。ユーザー名がすでに分かっている多数のアカウントに対して攻撃を展開するパスワードスプレー攻撃や、ブルートフォース攻撃などで、悪用されることが多い。Rapid7は、ハニーポットへのアクセスに使用されたパスワードと、rockyouのデータセットはほぼ一致することを発見した。

 「ハニーポットで観測された約50万件のユニークパスワードは、rockyouのデータセットに実質すべて(99.997%)含まれていた。こうした観測内容から、オンライン認証情報の攻撃者は、真にランダムなパスワードを生成しているのではなく、類推可能なパスワードのリストを使い、すべての作業を行っているという結論に至った」(同社)

 ハニーポットのデータから、攻撃者が使用しているパスワードは、「admin」「password」「123456」など、概して最も一般的なものであることが分かった。

 Rapid7は、攻撃者が日和見的に少数のユーザー名とパスワードを試し、それがうまくいかない場合は次の標的に移動していると考えている。また1つのIPアドレスが、「root:root」や「admin:admin」など、単一のユーザー名とパスワードを頻繁に試しているため、これは自動化されたプロセスであり、ボットネットの可能性が高いという。

 RDPの攻撃で最も使用されているユーザー名が「Administrator」と「administrator」であるのは、RDPが通常は「Windows」で動作しており、デフォルトの管理者アカウントが「administrator」のためだろう。

 SSHに対する攻撃では、「root」と「admin」の2つのユーザー名が目立った。これは、Linuxディストリビューションの多くが「root」というユーザー名で出荷されていること、そしてルーターとIoTデバイスでは、「admin」が一般的なデフォルトのユーザー名であるためだと推測される。IoTマルウェアの「Mirai」などが、デバイスのデフォルト認証情報を使って認証を試みるのは、まさにそのためだ。そして米国家安全保障局(NSA)が、ネットワークデバイスのデフォルト認証情報を変更するよう、管理者に推奨している理由でもある。

 Rapid7のSSHハニーポットは、49万7848件のパスワードを検出した。侵入の試みで最も一般的に使用されたのは、「123456」と「password」の2つだった。

 Rapid7が、ハニーポットで観測したパスワードからrockyouのデータセットを取り除くと、後に残されたのはわずか14件だった。

 Rapid7の主なアドバイスは、デフォルトの認証情報を変更し、可能な限りローカルの管理者アカウントとゲストアカウントを無効にすることだ。これによって攻撃を止めることはできないが、少なくとも日和見的な攻撃には対処できる。また、パスワードマネージャーを使用するとよいだろう。

 RDPとSSHを保護するには、企業VPNを使用し、リモート接続をVPNで認証されたホスト経由のものに制限する必要がある。また、ブルートフォース攻撃を防ぐには、「目立たないようにしてセキュリティを確保」するために、ポートを変更するという手もあるという。

 SSHのセキュリティ対策で最も重要なのは、パスワードベースの認証を無効にし、証明書ベースの認証を用いることだ。Rapid7は、SSHを有効にしているユーザーを制限するために、sshd_configファイルの修正を強く勧めている。また、すべてのルートアカウントでSSHを無効にしたり、ログインの最大試行回数を変更したりすることも、「一般的に」よい考えだと述べている。

元記事: https://japan.zdnet.com/article/35194957/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「日本発ソフトに必要なのは売った夢を形にすること」–サンブリッジのアレン・マイナー氏
IT関連
2021-05-10 07:04
アップルのWWDC 2021基調講演をライブ中継で観よう!
イベント情報
2021-06-08 12:44
トレンドマイクロ、DX担当や幹部向けのセキュリティ教育を開始
IT関連
2021-07-15 15:06
“バイトテロ”再び 8年で変質した炎上の背景を考える :小寺信良のIT大作戦(1/2 ページ)
トップニュース
2021-06-24 10:22
1PasswordのAndroid版がパスキーに正式対応。iOS版や各種ブラウザ版1Passwordとのパスキーの同期が可能に
FIDO/WebAuthn
2024-03-11 20:26
VSCodeにFigmaを組み込む「Figma for VS Code」登場。コードの自動補完にも対応
Adobe
2023-06-26 08:50
新型コロナウイルスのワクチン接種会場や大規模接種センター周辺の駐車場を予約できる特設ページが公開
シェアリングエコノミー
2021-05-28 10:09
マルチプラットフォーム対応が進むKotlin。「Jetpack Compose for Web」登場、Webアプリ対応のUIフレームワーク
Kotlin
2021-05-06 14:19
SIE、PS5用PS VRコントローラーのデザインと機能を紹介
アプリ・Web
2021-03-20 00:50
AI倫理の専門家が語る、AIによる偏見の助長を防ぐために必要なこと
IT関連
2023-05-31 14:38
LINE社員の“サクラ”投稿は「事実」 オープンチャットの一部を会社主導で運営 方針見直しへ
くわしく
2021-04-24 06:08
Deno、コンパイルで生成される実行ファイルが最大半分にまで軽量化。Deno 1.41リリースで
Deno
2024-03-01 01:55
AWSら、深刻化するドラッグラグ解消に寄与–ヘルスケア業界のクラウド活用事例
IT関連
2022-11-11 20:25
Kubernetes上にPaaSを構築する「Korifi」、Cloud Foundryがベータ公開
Cloud Foundry
2022-06-02 08:22