RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は？

今回は「RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は？」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftの「Remote Desktop Protocol」（RDP）は、リモートで稼働するPCやサーバーに接続する際に便利な手段である。しかし、RDPは、組織のネットワークやその他の重要なリソースへのアクセスを狙うサイバー犯罪者にとっても魅力的な標的となる。そのため、リモートデスクトップアカウントには、強力で複雑なパスワードを使用することが不可欠である。残念ながら、これは多くの人々や企業で不十分な点である。

　パスワードセキュリティプロバイダーのSpecops Softwareは米国時間3月18日、攻撃者がRDP接続を悪用するためによく使われるパスワードの上位10件を明らかにした。2024年に盗難された10億件を超えるパスワードを分析。その結果、多くの人々が重要なシステムであっても、パスワードを作成する際の標準的なベストプラクティスを無視していることが分かった。

　RDPサーバーを監視している組織は、ハッカー、ボット、ランサムウェアグループなどから、数百から数千に及ぶログイン試行の失敗を確認している。RDPポートの開放を発見すると、攻撃者はブルートフォース（総当たり）攻撃によってさまざまなユーザー名とパスワードを用いて接続を試みる。パスワードが単純であるほど、攻撃者はより迅速にアクセス権を獲得し、悪用が容易になる。

　当然のことながら、悪意のある攻撃によって最も多く盗まれたパスワードは「123456」だった。これは、多くの人々が依然として「キーボードウォーク」、つまりキーボード上の隣接するキーの文字列を入力して作成されたパスワードに頼っていることを示している。

　2位は「1234」で、おそらく5と6を追加するのが面倒だったためだろう。「Password1」と「12345」がこれに続く。

　5位は「P@sswOrd」。これはまだ弱いパスワードだが、特殊文字を使う知識がある人がいることを示している。Specopsによると、これは8文字、大文字1文字、数字1文字、特殊文字1文字という標準要件を満たしているから、よく使われている可能性があるという。

　リストの最後には「password」「Password123」「Welcome1」「12345678」「Aa123456」がある。「Welcome1」が含まれているのは、多くの従業員が初期設定などでこのような脆弱（ぜいじゃく）なパスワードを一時的に与えられたまま、変更を促されていないことが考えられるためだ。それ以外では、トップ10のほとんどが一般的な数字の並びか、「password」という単語のバリエーションを使っていた。

　パスワードの安全性を高めるには、数字、英小文字、英大文字、特殊文字を組み合わせる必要がある。しかし、攻撃者に悪用されたパスワードのうち、これら4種類の文字が全て含まれていたものは8％未満だった。約半数は、数字か英小文字のみで構成されていた。複雑なパスワードは不可欠である。なぜなら、たとえ短いパスワードであっても、RDPポート攻撃の約92％を阻止できるからである。

　ただし、パスワードの長さはその複雑さと同じくらい重要だ。Specopsの分析によると、最も多くのパスワードは8文字で構成されていた。これは通常、組織のセキュリティポリシーで要求される最小の長さだからだ。Specopsによれば、15文字以上の複雑なパスワードは、ブルートフォース攻撃で突破することがほぼ不可能になる。RDP攻撃で使用されたパスワードのうち、12文字を超えていたのは2％未満だった。

　RDP接続を悪用する攻撃者から自分や組織を守るための対策について、Specopsは幾つかの対策を挙げている。