RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は?

今回は「RDP攻撃で頻繁に使われるパスワードとは–傾向と対策は?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftの「Remote Desktop Protocol」(RDP)は、リモートで稼働するPCやサーバーに接続する際に便利な手段である。しかし、RDPは、組織のネットワークやその他の重要なリソースへのアクセスを狙うサイバー犯罪者にとっても魅力的な標的となる。そのため、リモートデスクトップアカウントには、強力で複雑なパスワードを使用することが不可欠である。残念ながら、これは多くの人々や企業で不十分な点である。

 パスワードセキュリティプロバイダーのSpecops Softwareは米国時間3月18日、攻撃者がRDP接続を悪用するためによく使われるパスワードの上位10件を明らかにした。2024年に盗難された10億件を超えるパスワードを分析。その結果、多くの人々が重要なシステムであっても、パスワードを作成する際の標準的なベストプラクティスを無視していることが分かった。

 RDPサーバーを監視している組織は、ハッカー、ボット、ランサムウェアグループなどから、数百から数千に及ぶログイン試行の失敗を確認している。RDPポートの開放を発見すると、攻撃者はブルートフォース(総当たり)攻撃によってさまざまなユーザー名とパスワードを用いて接続を試みる。パスワードが単純であるほど、攻撃者はより迅速にアクセス権を獲得し、悪用が容易になる。

 当然のことながら、悪意のある攻撃によって最も多く盗まれたパスワードは「123456」だった。これは、多くの人々が依然として「キーボードウォーク」、つまりキーボード上の隣接するキーの文字列を入力して作成されたパスワードに頼っていることを示している。

 2位は「1234」で、おそらく5と6を追加するのが面倒だったためだろう。「Password1」と「12345」がこれに続く。

 5位は「P@sswOrd」。これはまだ弱いパスワードだが、特殊文字を使う知識がある人がいることを示している。Specopsによると、これは8文字、大文字1文字、数字1文字、特殊文字1文字という標準要件を満たしているから、よく使われている可能性があるという。

 リストの最後には「password」「Password123」「Welcome1」「12345678」「Aa123456」がある。「Welcome1」が含まれているのは、多くの従業員が初期設定などでこのような脆弱(ぜいじゃく)なパスワードを一時的に与えられたまま、変更を促されていないことが考えられるためだ。それ以外では、トップ10のほとんどが一般的な数字の並びか、「password」という単語のバリエーションを使っていた。

 パスワードの安全性を高めるには、数字、英小文字、英大文字、特殊文字を組み合わせる必要がある。しかし、攻撃者に悪用されたパスワードのうち、これら4種類の文字が全て含まれていたものは8%未満だった。約半数は、数字か英小文字のみで構成されていた。複雑なパスワードは不可欠である。なぜなら、たとえ短いパスワードであっても、RDPポート攻撃の約92%を阻止できるからである。

 ただし、パスワードの長さはその複雑さと同じくらい重要だ。Specopsの分析によると、最も多くのパスワードは8文字で構成されていた。これは通常、組織のセキュリティポリシーで要求される最小の長さだからだ。Specopsによれば、15文字以上の複雑なパスワードは、ブルートフォース攻撃で突破することがほぼ不可能になる。RDP攻撃で使用されたパスワードのうち、12文字を超えていたのは2%未満だった。

 RDP接続を悪用する攻撃者から自分や組織を守るための対策について、Specopsは幾つかの対策を挙げている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
マイクロソフト、「Teams」に対する一連の機能強化を発表
IT関連
2022-06-03 12:26
Instagramはクリエイターの生活のためにアフィリエイトとショップ機能を導入
ネットサービス
2021-06-11 17:02
「東京ガールズコレクション」の世界観を完全再現した公式ファッション・メタバース「バーチャルTGC」が正式公開
IT関連
2022-03-15 07:38
NEC、全国5自治体で自動運転を支援する路車協調システムの実証を開始
IT関連
2024-01-19 14:13
若い世代は対面よりデジタル体験を重視–アドビ調査
IT関連
2022-06-09 19:12
トーバルズ氏が考える、LinuxにおけるRustの居場所とは
IT関連
2021-03-31 09:31
三菱UFJ銀行、営業店のセルフサービス化を促進–日本IBMがシステム開発
IT関連
2022-07-16 00:36
八洲電機、基幹システムを「Oracle Fusion Cloud Applications」で刷新–自社の変化に対応
IT関連
2024-07-06 00:43
ノートPC出荷、2021年第1四半期に81%増–Strategy Analytics
IT関連
2021-05-17 06:28
コロナ禍で出張のあり方が変化–コンカー、JTB子会社のサービスと連携
IT関連
2023-02-15 04:55
日本の製造業はデータの価値をより活用してほしい–AVEVAが訴求
IT関連
2023-07-27 12:06
Pinterestがアイシャドウを購入前に試せるバーチャルメイク機能を発表
ネットサービス
2021-01-25 21:54
マイクロソフト、「Teams」にエコーキャンセルなど音声向上の新機能
IT関連
2022-06-15 21:50
「Raspberry Pi OS」がアップデート–テキスト検索やネットワーク管理機能が強化
IT関連
2022-09-14 16:05