この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

パスワードクラッキングの手法と傾向

2009/08/04


 スパイウェアやフィッシングによるパスワード流出に起因する被害がクローズアップされることが多い現在だが、昔ながらのパスワードクラッキングもまだまだ大きなセキュリティ上の脅威である。多くのWebシステムが外部からのパスワードクラッキングに対応しているとはいえ、実はいまだにクラッキング可能な穴が見逃されていたままというケースがあるからだ。最悪の場合にはシステムの乗っ取りにまで発展しかねないパスワード不正利用を防止する方策について、今回改めて考えてみよう。

パスワードクラッキング

#007

リモート管理用のパスワードがバレてサーバに不正プログラムが仕込まれた!

  2007年3月、著名なポータルサイトを運営するA社に突然の連絡が舞い込んだ。「あなたの会社のシステムから攻撃を受けている。調べてほしい」。驚いたA社が内部システムを調査してみたところ、ユーザ向けにサービスを提供するサーバ2台でftp scannerとIRC Botというプログラムが動いていることを発見した。これらの不正プログラムはA社がまったく意図しない攻撃パケットを不特定多数の外部接続先に対して送りつけていたのだった。なぜ不正プログラムがそこに設置されたのか?調査の結果わかったのは、同社のサーバ群の入り口に当たるサーバのうちの2台に対してパスワードクラッキング攻撃が行われ、成功していたことだった。解読されたパスワードにより外部からの不正アクセスが行われ、リモート操作によって不正プログラムが、管理者が気のつかぬ間に仕込まれてしまったのである。 同社はさっそく不正アクセスを遮断するとともにシステムのすみずみまでを調査した。その結果判明したのは、不正アクセスを許したのはSSH(Secure Shell)であることだった。SSHはシステム管理のために外部から接続してリモート管理を可能にするための暗号化通信の仕組みだ。しかしSSHへのログインのためのID/パスワードが適切に運用されていなかった。というより、実はSSHによるアクセスが可能なサーバであることを、システム管理者が認識していなかった。そのため、セキュリティポリシーとして許されていないはずのパスワード認証の仕組みが人知れず機能しており、しかもパスワードがユーザIDと同じであるという、これもポリシー違反の運用が行われていたため、容易に解読されていたことがわかった。不幸中の幸いだったのは、ユーザ情報の漏えいやサービスデータの改ざんなどの深刻な被害の痕跡は見あたらなかったことだ。これがわかり、同社はひとまず胸をなでおろすことができた。しかし、このケースで不正アクセスの原因を作ったのはパスワードクラッキングに対する対策の甘さであったことは間違いない。その後の適切な対応で同社は特段の大きな被害に遭うことはなかったが、一歩間違えば同社への信頼を大きく揺るがす出来事に発展しかねなかった。




1

パスワードクラッキングとは何か

 パスワードクラッキングとは、システムへのログインなどに使われるユーザIDとパスワードを推測/解読することであり、そのシステムを利用する権限がない者がシステムへアクセスできるようにしてしまう不正行為のひとつである。言うまでもなく、ユーザIDとパスワードによる認証は、アクセス制御の基本であり、最も広く利用されている方法だ。それを推測/解読することが簡単にできるとなれば、多くのシステムが不正に使用されてしまい、機密情報の流出、システムやデータの改ざん、不正プログラムの埋め込みによる第三者への攻撃など、ありとあらゆる不正行為が可能になってしまう。
 かつてはさかんにパスワードクラッキングが行われ、重大な事件も多数発生したことがあった。しかし、ITが普及し、アクセス制御に関する知識が広く行き渡るにつれシステム側での対策が発達したため、現在ではパスワードクラッキングによる被害はそれほど耳目にすることがなくなってきた。とはいえ、それは外部からの接続自体を制限するシステムが攻撃を防いでいるために被害件数が表面上少なくなったように見えるだけのことで、実際にはインターネットに接続している全てのシステムに毎日多数の攻撃が行われており、クラッキングの手法やツールはかつてよりも洗練されたものが利用されるようになっている。
 またシステムへのログインばかりでなく、パスワード保護付きファイル(Zipファイル、PDFファイル、オフィスアプリケーションのファイル、暗号化ファイル等)に対しても同様のパスワードクラッキングの手法/ツールが利用できるため、パスワードクラッキング自体の発生回数は、以前よりも増えているのではないかと推察される。

このページの先頭へ

セキュリティ情報局にご登録頂いた方限定で「パスワードクラッキングの手法と傾向」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

パスワードクラッキング/パスワードクラッキングの手法と傾向」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「パスワードクラッキング」関連情報をランダムに表示しています。

パスワードクラッキング」関連の特集


たった1通の“何気ないメール”が命取り!?顧客情報や設計情報などの機密情報を狙う標的型攻撃と、注意す…



情報漏洩対策をしていないPCが悪意のある者に渡ったら…。そうなる前に社外持ち出し時のルール策定や保護…



企業に無線LANを導入するとどんなセキュリティリスクが待ち受けているのか!?無線LANの危険な側面に…


「その他エンドポイントセキュリティ関連」関連の製品

デバイスの利用禁止/接続先ネットワークの制限 秘文 Device Control 【日立ソリューションズ】 アンチウイルスだけには頼れない、最新ランサムウェアに対する対処法は? 【Ivanti Software】 「デジタルワークスペース」が安全な働き方改革を実現する道筋 【ヴイエムウェア+他】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
スマートフォン、USBメモリなど様々なデバイスの利用を制限
Wi-Fi制御、VPN利用の強制
マルウェア対策製品と連携し、感染PCのネットワーク通信を自動遮断、感染拡大を防止
アンチウイルスだけには頼れない、最新ランサムウェアへの対処法は? 働き方改革を機にリモートワークを導入する企業が増えつつあるが、ここでも課題となるのがセキュリティ対策だ。リモートワークの利便性とセキュリティを両立する手法とは。

「その他エンドポイントセキュリティ関連」関連の特集


 前回は情報セキュリティ対策の間には構造があるというお話をし、それを図で表す案をご紹介した。今回はそ…



 個人情報漏洩インシデントの個別要素、経年変化を分析した結果から、対策効果が停滞気味であり、全体的に…



 前回は、情報漏洩事件の実態に関して興味深い調査データを紹介した。「自分の会社では漏洩はしていないか…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30003162


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ