RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は?

今回は「RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftの「Remote Desktop Protocol」(RDP)は、リモートで稼働するPCやサーバーに接続する際に便利な手段である。しかし、RDPは、組織のネットワークやその他の重要なリソースへのアクセスを狙うサイバー犯罪者にとっても魅力的な標的となる。そのため、リモートデスクトップアカウントには、強力で複雑なパスワードを使用することが不可欠である。残念ながら、これは多くの人々や企業で不十分な点である。

 パスワードセキュリティプロバイダーのSpecops Softwareは米国時間3月18日、攻撃者がRDP接続を悪用するためによく使われるパスワードの上位10件を明らかにした。2024年に盗難された10億件を超えるパスワードを分析。その結果、多くの人々が重要なシステムであっても、パスワードを作成する際の標準的なベストプラクティスを無視していることが分かった。

 RDPサーバーを監視している組織は、ハッカー、ボット、ランサムウェアグループなどから、数百から数千に及ぶログイン試行の失敗を確認している。RDPポートの開放を発見すると、攻撃者はブルートフォース(総当たり)攻撃によってさまざまなユーザー名とパスワードを用いて接続を試みる。パスワードが単純であるほど、攻撃者はより迅速にアクセス権を獲得し、悪用が容易になる。

 当然のことながら、悪意のある攻撃によって最も多く盗まれたパスワードは「123456」だった。これは、多くの人々が依然として「キーボードウォーク」、つまりキーボード上の隣接するキーの文字列を入力して作成されたパスワードに頼っていることを示している。

 2位は「1234」で、おそらく5と6を追加するのが面倒だったためだろう。「Password1」と「12345」がこれに続く。

 5位は「P@sswOrd」。これはまだ弱いパスワードだが、特殊文字を使う知識がある人がいることを示している。Specopsによると、これは8文字、大文字1文字、数字1文字、特殊文字1文字という標準要件を満たしているから、よく使われている可能性があるという。

 リストの最後には「password」「Password123」「Welcome1」「12345678」「Aa123456」がある。「Welcome1」が含まれているのは、多くの従業員が初期設定などでこのような脆弱(ぜいじゃく)なパスワードを一時的に与えられたまま、変更を促されていないことが考えられるためだ。それ以外では、トップ10のほとんどが一般的な数字の並びか、「password」という単語のバリエーションを使っていた。

 パスワードの安全性を高めるには、数字、英小文字、英大文字、特殊文字を組み合わせる必要がある。しかし、攻撃者に悪用されたパスワードのうち、これら4種類の文字が全て含まれていたものは8%未満だった。約半数は、数字か英小文字のみで構成されていた。複雑なパスワードは不可欠である。なぜなら、たとえ短いパスワードであっても、RDPポート攻撃の約92%を阻止できるからである。

 ただし、パスワードの長さはその複雑さと同じくらい重要だ。Specopsの分析によると、最も多くのパスワードは8文字で構成されていた。これは通常、組織のセキュリティポリシーで要求される最小の長さだからだ。Specopsによれば、15文字以上の複雑なパスワードは、ブルートフォース攻撃で突破することがほぼ不可能になる。RDP攻撃で使用されたパスワードのうち、12文字を超えていたのは2%未満だった。

 RDP接続を悪用する攻撃者から自分や組織を守るための対策について、Specopsは幾つかの対策を挙げている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
DNP、「Okta」採用–海外拠点のITインフラ整備の迅速化とガバナンス強化を実現
IT関連
2022-11-22 17:16
IBM上級幹部が語る「日本への投資を増強している理由」とは
IT関連
2023-09-30 06:22
ヴイエムウェア、約2年ぶりにvSphereとvSANとメジャーリリース–Tanzuも進化
IT関連
2022-09-06 06:25
セキュリティ分野でキャリアアップするには–5つのアドバイス
IT関連
2022-11-25 19:05
ドイツに続き仏プライバシー監視当局も苦情・嘆願書を受けてClubhouseの調査開始
ネットサービス
2021-03-21 05:49
日本IBM、医薬品の流通経路や在庫状況を可視化–ブロックチェーン活用したプラットフォームを検証開始
IT関連
2023-03-30 05:10
マイクロソフト、従業員契約から競業避止条項を削除
IT関連
2022-06-11 15:03
「Linux」から「iCloud」のメモを管理するには
IT関連
2024-02-16 06:25
迫るIEサポート終了、企業はどう対応すべきか
IT関連
2022-02-17 16:33
三菱UFJ銀行がSalesforceのCRMシステムを導入–顧客データを一元化
IT関連
2025-04-09 14:42
マイクロソフト、「Windows 11 22H2」の新機能をプレビュー版で提供開始
IT関連
2022-10-08 11:28
マセラティが同社初の電気自動車「グレカーレ」を発表、発売は2023年
IT関連
2022-03-24 11:54
三菱地所が「バーチャル丸の内」公開へ VRイベントの場として提供
企業・業界動向
2021-01-21 02:26
「出社でもリモートでもマネジメントのやりやすさは変わらない」は55.7%–overflow調査
IT関連
2023-11-07 23:01