ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
https://thinkit.co.jp/news/bn/19940
https://www.rapid7.com/blog/post/2022/10/20/new-research-were-still-terrible-at-passwords-making-it-easy-for-attackers/
ニュース概要
– 10月20日(現地時間)、セキュリティベンダーのRapid7社より、特に企業ネットワークへの不正ログイン試行時において頻繁に使用されるユーザー名とパスワードに関する調査結果が発表されました。
– クラウド上の仮想マシンを管理するために用いられるプロトコルとしてRDP(リモートデスクトップ)とSSHを取り上げており、同社が仕掛けたハニーポット上のRDP・SSHで使用されたユーザー名・パスワードを分析したものとのことです。
– RDPに対し最も頻繁に試行されたユーザー名は「administrator」「user」「admin」、SSHについては「root」「admin」「nproc」とされており、同様に最も多く試行されたパスワードは「admin」「password」「123456」だったとのことです。
– また、ハニーポットに対して施行された50万件のパスワードが、2009年にソーシャルゲームサイト「RockYou」から流出した情報を元に作成された攻撃用のID・パスワードリストとほぼ一致したことから、攻撃者は全くランダムなパスワードではなく、既存のパスワードリストを使用していると同社では結論づけています。
AUSからの所感
RDPはWindows上で、SSHはLinux上で主に使用されるプロトコルであることから、ユーザー名の上位も各OSで管理者アカウントに使われるものが出ています。
不正ログインの試行では、パスワードに使われやすい単語の大規模なリストを用いる「辞書攻撃」や、IDとパスワードが同一な「JOEアカウント」を狙う等は昔から行われてきた古典的なものであり、アカウントにパスワードを設定するにあたってはこうした攻撃のセオリーを避け、同社も推奨するようにデフォルトで設定されているパスワードから変更し、推測されにくいパスワードを設定するのが重要です。
またSSHについては、公開鍵ベースでの認証を用いるようにし、パスワードでの認証を無効にすること、SSHでログインするユーザーを制限すること等が推奨されており、一方RDPにはSSHのような鍵ベースの認証はないものの、近年WindowsサーバーでもSSHサービスが利用できるようになっており、RDPポートに外部から直接アクセス可能な状態から、SSHによるトンネリングとの組合せを必要とし、より安全性を高める設定とする等も考慮に値するでしょう。
