現在、あなたの会社のコンピュータはハッカーに狙われているかどうかご存知ですか? 彼らの目的は何でしょうか? 今年、米国メリーランド大学の A. James Clark School of Engineering が発表した研究報告によって、安全性が最も低いユーザ名とパスワードの一覧が初めて定量化されました。この研究では、ネットワーク上のさまざまなリソースでこれらの安全性の低いと考えられるユーザ名やパスワードを使用していると、攻撃者により企業の情報リソースに不正にアクセスされてしまう可能性がより高くなると警告しています。
この研究は、Clark School 機械工学科助教授の Michel Cukier 氏 によって実施されたもので、ソフトウェアを使用した単純な手法で大量のコンピュータを無作為に攻撃する「ブルート・フォース・ハッカー」の行動をプロファイリングしています。またその結果として、どのようなユーザ名およびパスワードがハッカーに最も狙われやすいか、ハッカーがサーバーにアクセスできた後に何をするのか、などについて明らかにしています。
この種のハッカーは、テレビや映画ではよくありがちなイメージとして「悪意をもって特定の機関を標的とし、手作業でコンピュータに侵入しようとする人々」として描かれてきました。しかし、Cukier 氏によれば、「これらの攻撃者のほとんどは自動化されたスクリプトを使用し、一度に何千ものコンピュータを無差別に見つけ出してはそれらの脆弱性を探している」というのが実像です。
Cukier 氏は次のように指摘しています。「我々のデータでは、インターネットに接続されているコンピュータは、ひっきりなしに攻撃を受けていることが定量的に示されています。我々が調査に使用したコンピュータは、1日平均2,244回もの攻撃を受けていました」。
Cukier 氏と彼が担当する2人の大学院生、Daniel Ramsbrock 氏と Robin Berthier 氏は、セキュリティが脆弱な4台の Linux コンピュータをインターネットに接続し、個々のマシンがどのように攻撃されるかを記録しました。その結果分かったことは、圧倒的多数の攻撃は「辞書スクリプト」(一般的なユーザ名とパスワードのリストを一通り試してコンピュータに侵入しようとするタイプのソフトウェア)を使用した、どちらかといえばレベルの低い洗練されていないハッカーたちによる攻撃でした。
最も脆弱なユーザ名トップ10
辞書スクリプトで最も試行される回数が多かったユーザ名は「root」で、2位の「admin」の12倍以上試行されていました。admin
の管理者権限はまだ限定されていますが、root でアクセスされた場合はコンピュータ全体をハッカーに乗っ取られてしまいます。ハッカーのスクリプトによって試行されることが多いその他のユーザ名は、「test」、「guest」、「info」、「adm」、「mysql」、「user」、「administrator」、および「oracle」でした。Cukier氏
は、これらをユーザ名として使用することは絶対に避けるべきだと警告しています。
間違ったパスワード方針
Cukier 氏は、ハッカーがパスワードを入手するために最も一般的に試行される行動として、ユーザ名を再入力する方法や、ユーザ名の一部を変化させて試す方法であることも発見しました。パスワード推測のための試行のおよそ43%は、単純なユーザ名の再入力でした。次に試行回数が多かったのが、ユーザ名の後ろに「123」を付ける方法です。それ以外に多かったのは、「123456」、「password」、「1234」、「12345」、「psswd」、「123」、「test」、「1」などでした。Cukier
によれば、これらの結果は、「ユーザ名とまったく同じ、または何らかの関連性があるパスワードは使用すべきでない」というセキュリティ専門家の従来の警告を裏付けるものです。
ハッカーの狙いとは
不幸にもパスワードが解析され、ターゲットのコンピュータにアクセスできるようになったハッカーは、速やかにそのコンピュータが役に立つかどうかを判断するための行動に移ります。研究の過程で明らかになったハッカーの最も一般的な行動手順は次のとおりです。まず、アクセスできるようになったコンピュータのソフトウェアなどの各種設定を確認し、勝手にパスワードを変更してからもう一度ハードウェアやソフトウェアの設定を確認します。次に、ファイルをダウンロードし、ダウンロードしたプログラムをインストールして実行します。
ハッカーは何をしようとしているのでしょうか? 「ハッカーは、スクリプトから返された最も見込みのあるコンピュータのリストをもとに、できる限り多くのコンピュータにアクセスして乗っ取ろうとします」と Cukier 氏 は言います。「多くの場合、コンピュータをコントロールするための秘密の入口である「バックドア」を設定することで、利益または悪い評判を立てることを目的としたボットネットを構築していくのです」。 ボットネット(roBOT NETwork)とは、ハッカーに乗っ取られたコンピュータの集まりで、ハッカーがインストールした自律型ソフトウェア・ロボットによってコントロールされているものをいいます。これらのロボットは、ハッカーからのリモート操作に対して応答を返します。ボットネットは、詐欺や窃盗、他のネットワークやサーバーへの攻撃、コンピュータ・ファイルの破壊など、さまざまな不正行為に利用されます。
この研究では、脆弱なユーザ名やパスワード、およびハッカーの乗っ取り後の攻撃行動について、広く受け入れられている考え方が間違っていないことを示す確固とした統計的証拠が提示されています。ネットワークやコンピュータの管理者は、研究結果に示されているようなユーザ名やパスワードの使用を避けるとともに、大文字、小文字、数字が混在し、できる限り長くて難解な、ブルート・フォース・アタックを受けにくいパスワードを選択する必要があります。また、研究によって明らかになった「スクリプト・キディ」(他人が作成したスクリプトを使う幼稚な)ハッカーのプロファイルは、セキュリティ管理者にとって、主に2つの方法で役立てることができます。まず、それらの最も一般的な攻撃に確実に対処できるセキュリティ・ツールを選択することです。そして、Cukier 氏 によれば、攻撃後の損害の管理と駆除を集中的に実施することが重要です。
チェック・ポイントのアプローチ
数あるセキュリティ・ツールの中でも、Check
Point Eventia Analyzer は、ブルート・フォース・アタックへの対応機能において多くのセキュリティ管理者から高い評価を受けています。Check
Point Eventia Analyzer は、認証が複数回失敗した場合に「イベント」を作成し、自動対応アクションによってユーザ名/パスワードおよび攻撃元
IP をブロックすることで、繰り返し行われるブルート・フォース・アタックを防止します。また、チェック・ポイントでは、ブルート・フォース、バッファ・オーバーフロー、SQL
インジェクションなど、悪意のあるさまざまなハッカー攻撃を効果的に防止するために、VPN-1
や UTM-1 等チェック・ポイントのセキュリティ・ゲートウェイに対しリアルタイムなセキュリティ・アップデートを SmartDefense サービスとして提供しています。 この SmartDefense
サービスでは、チェック・ポイントが提供するセキュリティ・インフラストラクチャに対する事前の防御を可能にするセキュリティ対策をいち早くアップデートすることで、常に最新の状態に維持しご利用頂けます。SmartDefense
サービスは、最新の脅威や攻撃の一歩先を行く防御を可能にするための、各種アップデートだけでなく、防御機能およびセキュリティ・ポリシーの設定アドバイザリ(情報)をリアルタイムに提供します。
注:この研究の要約、およびハッカーの辞書スクリプトによって試行されやすいユーザ名トップ1,000の一覧が、著者(mcukier@eng.umd.edu)から提供されています。