rootアカウントが狙われる
ハニーポットに侵入した攻撃者は,さまざまなツールをインターネットからダウンロードして,別システムへのパスワード解析を仕掛けていた。そこで筆者は,「どういったアカウント/パスワードが狙われるのか」を調べるために,それらのツールで使われている複数の辞書ファイルを入手し,登録されているアカウントとパスワードを集計してみた。
その結果,それらの辞書ファイルには,5500種類のアカウントと1万4000種類のパスワードが登録されていた。これらはランダムに組み合わせられるのではなく,特定の組み合わせで試行するように設定されている。組み合わせ数はおよそ2万4000通り。それらの組み合わせを調べると,アカウントに「root」を指定しているものが最も多かった。以下,「admin」「test」「user」が続く。上位10件は以下のとおり。
- root
- admin
- test
- user
- adam
- www
- john
- paul
- danny
- michael
rootを指定している組み合わせは群を抜いて多かった。上位10件のアカウントを使っている組み合わせだけ抜き出してみると,その90%がrootを指定していた。攻撃者は手っ取り早く対象システムを掌握するために,root権限を奪取しようと試みるのだ。このため,rootはリモートからのログインを禁止するとともに,十分に複雑なパスワードを使用する必要がある。これらは情報セキュリティのセオリーであり,実施されている管理者は多いだろうが,改めて確認しておきたい。
使われるパスワードの上位10件は以下のとおり。アカウントの場合と同様に,安易な文字列をパスワードに設定すれば,すぐに破られることが分かってもらえるだろう。
- 123456
- password
- 0
- qazwsx
- admin
- test
- 123qwe
- 1qaz2wsx
- qwerty
- 123qaz
上位10件のなかでも,「123456」を指定している組み合わせは特に多かった。上位10件のパスワードを指定している組み合わせを抜き出すと,その72%が「123456」を使っていた。ちなみに2番目の「password」は4%,3番目の「0」は3%だった。
また,アカウントとパスワードに同一の文字列を指定している組み合わせも多かった。全組み合わせの実に41%が,アカウントとパスワードが同じ組み合わせだった。
管理者が新規でユーザーを追加する場合,初期パスワードとしてアカウントと同じ文字列を設定することが少なくない。攻撃者はこのことを想定して攻撃していると考えられる。そのため短時間であっても,初期パスワードを設定する場合にはアカウントと同一にすることは避けるべきである。
辞書ファイルに登録されているパスワードに占めるアルファベット大文字/小文字,数字,特殊文字の比率についても調べてみた。その結果,アルファベット小文字が最も多く使用されており全体の85%を占めた。その次が数字で12%。小文字と数字だけで97%になることが明らかとなった。アルファベット大文字と特殊文字は全体の3%に過ぎない。
最も使用頻度の少ない特殊文字について,さらに調査した結果を表1にまとめた。表1は特殊文字全体を100%とした場合の,特殊文字それぞれの使用比率を表している。
特殊文字の中でも,使用比率にはばらつきが存在し,「-」の比率は特に高かった。パスワードに特殊文字を含めることは重要だが,「-」の使用は控えたほうがよいだろう。
表1 辞書ファイルに登録されている特殊文字の比率
| 特殊文字 | 比率 | 特殊文字 | 比率 | 特殊文字 | 比率 |
|---|
| - | 62.8% | : | 1.7% | ~ | 0.0% |
| $ | 5.2% | ( | 1.6% | < | 0.0% |
| @ | 3.9% | ) | 1.5% | > | 0.0% |
| # | 3.7% | + | 0.8% | | | 0.0% |
| ! | 3.5% | ? | 0.6% | { | 0.0% |
| % | 3.3% | ; | 0.4% | } | 0.0% |
| ^ | 3.1% | " | 0.3% | [ | 0.0% |
| * | 2.7% | = | 0.2% | | |
| & | 2.7% | , | 0.1% | | |
| ' | 1.9% | ] | 0.1% | | |
パスワード解析は古典的な攻撃手法ではあるが,その脅威は依然“健在”である。SSH以外にも,最近ではFTPに対するパスワード解析が確認されており,SOCでは危険性の高い攻撃であると判断している。
今回紹介したようなツールも出回っているので,単純なパスワードではすぐに破られるのが現状である。破られて侵入を許せば,今回の調査で明らかになったように,被害は自分たちだけにはとどまらない。別の攻撃の踏み台に悪用される。その攻撃を受けた組織には,侵入を許した組織も加害者の一味にみえてしまうだろう。
「覚えたり考えたりするのが面倒」――。そのような理由で設定した安易なパスワードが,重大な事態を引き起こす可能性があるのだ。本稿を機に,パスワードの重要性を再認識していただければ幸いである。
|
この記事は,2006年11月13日に公開した「今週のSecurity Check」を再構成したものです。著者のプロフィールは最初の原稿執筆時点のもので,IBMのインターネット セキュリティ システムズ買収により,守屋氏は現在,日本IBM ISS事業部ISSサービス企画マネージド セキュリティ サービス部に所属しています。
|
|
|
ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)
|