この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

パスワードクラッキングの手法と傾向

2009/08/04


 スパイウェアやフィッシングによるパスワード流出に起因する被害がクローズアップされることが多い現在だが、昔ながらのパスワードクラッキングもまだまだ大きなセキュリティ上の脅威である。多くのWebシステムが外部からのパスワードクラッキングに対応しているとはいえ、実はいまだにクラッキング可能な穴が見逃されていたままというケースがあるからだ。最悪の場合にはシステムの乗っ取りにまで発展しかねないパスワード不正利用を防止する方策について、今回改めて考えてみよう。

パスワードクラッキング

#007

リモート管理用のパスワードがバレてサーバに不正プログラムが仕込まれた!

  2007年3月、著名なポータルサイトを運営するA社に突然の連絡が舞い込んだ。「あなたの会社のシステムから攻撃を受けている。調べてほしい」。驚いたA社が内部システムを調査してみたところ、ユーザ向けにサービスを提供するサーバ2台でftp scannerとIRC Botというプログラムが動いていることを発見した。これらの不正プログラムはA社がまったく意図しない攻撃パケットを不特定多数の外部接続先に対して送りつけていたのだった。なぜ不正プログラムがそこに設置されたのか?調査の結果わかったのは、同社のサーバ群の入り口に当たるサーバのうちの2台に対してパスワードクラッキング攻撃が行われ、成功していたことだった。解読されたパスワードにより外部からの不正アクセスが行われ、リモート操作によって不正プログラムが、管理者が気のつかぬ間に仕込まれてしまったのである。 同社はさっそく不正アクセスを遮断するとともにシステムのすみずみまでを調査した。その結果判明したのは、不正アクセスを許したのはSSH(Secure Shell)であることだった。SSHはシステム管理のために外部から接続してリモート管理を可能にするための暗号化通信の仕組みだ。しかしSSHへのログインのためのID/パスワードが適切に運用されていなかった。というより、実はSSHによるアクセスが可能なサーバであることを、システム管理者が認識していなかった。そのため、セキュリティポリシーとして許されていないはずのパスワード認証の仕組みが人知れず機能しており、しかもパスワードがユーザIDと同じであるという、これもポリシー違反の運用が行われていたため、容易に解読されていたことがわかった。不幸中の幸いだったのは、ユーザ情報の漏えいやサービスデータの改ざんなどの深刻な被害の痕跡は見あたらなかったことだ。これがわかり、同社はひとまず胸をなでおろすことができた。しかし、このケースで不正アクセスの原因を作ったのはパスワードクラッキングに対する対策の甘さであったことは間違いない。その後の適切な対応で同社は特段の大きな被害に遭うことはなかったが、一歩間違えば同社への信頼を大きく揺るがす出来事に発展しかねなかった。




1

パスワードクラッキングとは何か

 パスワードクラッキングとは、システムへのログインなどに使われるユーザIDとパスワードを推測/解読することであり、そのシステムを利用する権限がない者がシステムへアクセスできるようにしてしまう不正行為のひとつである。言うまでもなく、ユーザIDとパスワードによる認証は、アクセス制御の基本であり、最も広く利用されている方法だ。それを推測/解読することが簡単にできるとなれば、多くのシステムが不正に使用されてしまい、機密情報の流出、システムやデータの改ざん、不正プログラムの埋め込みによる第三者への攻撃など、ありとあらゆる不正行為が可能になってしまう。
 かつてはさかんにパスワードクラッキングが行われ、重大な事件も多数発生したことがあった。しかし、ITが普及し、アクセス制御に関する知識が広く行き渡るにつれシステム側での対策が発達したため、現在ではパスワードクラッキングによる被害はそれほど耳目にすることがなくなってきた。とはいえ、それは外部からの接続自体を制限するシステムが攻撃を防いでいるために被害件数が表面上少なくなったように見えるだけのことで、実際にはインターネットに接続している全てのシステムに毎日多数の攻撃が行われており、クラッキングの手法やツールはかつてよりも洗練されたものが利用されるようになっている。
 またシステムへのログインばかりでなく、パスワード保護付きファイル(Zipファイル、PDFファイル、オフィスアプリケーションのファイル、暗号化ファイル等)に対しても同様のパスワードクラッキングの手法/ツールが利用できるため、パスワードクラッキング自体の発生回数は、以前よりも増えているのではないかと推察される。

このページの先頭へ

セキュリティ情報局にご登録頂いた方限定で「パスワードクラッキングの手法と傾向」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

パスワードクラッキング/パスワードクラッキングの手法と傾向」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「パスワードクラッキング」関連情報をランダムに表示しています。

パスワードクラッキング」関連の特集


セキュリティ対策の基本である「認証」。そのレベル向上の手段として注目されているワンタイムパスワードを…



情報漏洩対策をしていないPCが悪意のある者に渡ったら…。そうなる前に社外持ち出し時のルール策定や保護…



無線LANは普及したが、セキュリティ対策はどうだろうか?多くの企業で時代遅れな“常識”を信じていない…


「その他エンドポイントセキュリティ関連」関連の製品

Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】 接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。 デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。

「その他エンドポイントセキュリティ関連」関連の特集


 JNSAセキュリティ被害調査ワーキンググループは、過去数年にわたり、一般に公開された個人情報漏洩イ…



 連載最終回となる今回は、ワンクリックウェアに遭遇した時の対策を解説する。初期の頃に出現したユーザを…



 前回はセキュリティパッチの適用状況とパッチを適用しない理由に関するデータをみたが、今回はサーバやク…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30003162


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ