List of Common Passwords Accounts for Nearly All Cyberattacks
2022/10/21 DarkReading — 一般的な2種類のサーバを標的とする、数千万件の認証情報ベースの攻撃は、流出した認証情報のリストを形成する RockYou2021 の、ごく一部のパスワードに集約される。Rapid7 は 12ヶ月間にわたり、ハニーポットのネットワークを通じて、これらのサーバを侵害しようとした全ての試みを記録した。その結果として、クレデンシャル攻撃の試みは、512,000 通りの組み合わせになることを発見した。
これらのパスワードの大半 (99.997%) が、84億ものエントリを持つ共通のパスワード・リスト RockYou2021 に含まれていた。つまり、クレデンシャル攻撃を行う脅威アクターや、Rapid7 のハニーポットを攻撃する脅威アクターが、共通の手法を用いていることを示唆している。
Rapid7 のリサーチ・ディレクターである Tod Beardsley は、「すべての攻撃が重複していることから、攻撃者が安易な手段を取っていることが窺える。インターネット上で焦点の定まらない標的型攻撃に関しては、創造的であろうとする脅威アクターが存在しないことを、証明可能かつ実証可能な方法で推定できる。したがって、この種の日和見的な攻撃を避けるのは非常に簡単であり、最新のパスワード管理/設定管理ソフトを使えば、この脅威を完全に排除できる」と述べている。
毎年のように、それぞれのセキュリティ企業が示唆するのは、ユーザーが脆弱なパスワードを選び続けているという現実である。たとえば 2021年10月に、イスラエルのサイバー・セキュリティ研究者は、無線ネットワークの 70% のパスワードを瞬時に復元できることを発見した。なぜなら、多くのユーザーが、携帯電話番号をパスワードとして使用していたからだ。
また、2019年に、インターネットに流出したパスワードを評価したところ、トップは ”123456”、次いで ”123456789”、”qwerty” だった。ただし、これらの流出が、パスワード・ポリシーのない古いアカウントや、ほぼ使われていないアカウントを含んでいたかどうかは不明である。
ただし、Rapid7 の研究者たちが注目しているのは、防御側ではなく攻撃側が頻繁に使うパスワードであり、ブルートフォース攻撃を仕掛ける側の推測に適用される、分析の結果となっている。サイバー・セキュリティ企業 ESET の分析によると、このような攻撃は COVID-19 パンデミック時に劇的に増加しており、2021年にはパスワード推測が最も人気のある攻撃方法になっているという。
Rapid7 はレポートで、「リモートワークとクラウド基盤の導入が進み、インターネットを介して企業の情報システムにアクセスする人の数が急増している。セキュリティにおける多くの事柄と同様に、利便性と複雑性が加わったことで、これらのシステムを保護する作業は遥かに困難になっている」と述べている。
1年間で、50万件のパスワード
Rapid7 の調査によると、2021年9月10日〜2022年9月9日に、同社の RDP (Remote Desktop Protocol) /SSH (Secure Shell) ハニーポットから収集したクレデンシャル・データの解析により、同社のハニーポットに接続しようとする数千万件の試行が検出されたという。
同社によると、攻撃の大半は SSHハニーポットへのアクセスを試みており、50万件以上のユニークなパスワードのうち、97% が模擬 SSH サーバをターゲットにしていたという。SSH と RDP の両方を標的とした攻撃は、約 216,000のユニークなソース IP アドレスから発生していた。
この 50万件のパスワードは、RockYou2021 のデータセットに含まれる組み合わせの、100分の1以下に相当する。
Beardsley は、「このトラフィックを見る限り、これらの攻撃は、基本的にカスタムな設定が行われていない、既製の攻撃であることがわかる。別の言い方をすれば、もし標準的なパスワードのセットを超えるようなカスタマイズが行われているなら、それらのサンプルを解析することで、その試みも確認できたはずだ」と指摘している。
このデータは、ユーザーによる脆弱なパスワード選択の有無について殆ど語っていないが、そのような選択が、攻撃における最も単純な経路になることを示している。
また、データを見ると、RockYou2021 のリストにある全ての項目を、攻撃者が利用しているわけではなく、僅かな数しか試みていないことが明白になった。さらに、一般的なパスワードとユーザ名の組み合わせは一握りであり、流出しているパスワードのみを使うケースが大半を占めている。
RDP のユーザー名の上位は、administrator/user/admin であり、SSH のユーザー名の上位は、root/admin/nproc である。admin/password/123456 や、パスワードなしを示す空文字列などの脆弱なパスワードは、攻撃で試みられる最も一般的なものとなる。
ユーザーが脆弱なパスワードを使っていることを、攻撃者は知っている
Rapid7 の Beardsley は、「この調査結果は、ユーザーによるパスワードの作成が、不十分であることを反映しているのではない。むしろ、選りすぐりのパスワードをターゲットに対して試すことが、価値のある推測ゲームだと、攻撃者が考えていることを示している」と述べている。
彼は、「しかし、基本的な経済学によれば、これらの攻撃から攻撃者たちは、何らかの価値を得ているはずだ。そうでなければ、年間に数百万回もの攻撃を試みることはしないだろう。私が思うに、これらのボットを操作している人物は、基本的に非常に低いコストで攻撃を実行しており、この種の攻撃を実行して、たまに勝つだけでも、十分な利益を得ているのだ」と説明している。
ユーザーは、デフォルトのパスワードや、容易に推測できるパスワードがないことを、システムを継続的に監視して確認する必要がある。つまり、露出しているシステムや、内部のシステムに対して、盗まれた資格情報である RockYou2021 リストを実行することを意味する。Rapid7 は、外部向けの SSH/RDP サーバに加えて、簡単にパスワードを変更できない IoT システムに対しても、特に注意するよう推奨している。
Beardsley は、企業の従業員に対して組織的に、強力でユニークなパスワードを簡単に作成できる、パスワード・マネージャーを利用させるべきだと指摘している。
彼は、「パスワード・マネージャーを活用すれば、RockYou には存在しない、完全にランダムなパスワードを生成して、提供するサービスごとに異なるパスワードを設定できる。このハードルを越えれば、被害者になることを避けるのは簡単だ」と述べている。
とても興味深い記事ですね。この種の、脅威アクターの視点に立って考察する記事は、訳していて楽しいです。文中の「選りすぐりのパスワードをターゲットに対して試すことが、価値のある推測ゲームだと、攻撃者が考えていることを示している」というくだりが、とても印象的でした。パスワードに関連する最近の記事としては、10月19日の「MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?」がオススメです。また、Rapid7 の Good Passwords for Bad Bots も、とても簡潔で分かりやすいレポートです。
IoT OT Security News 
You must be logged in to post a comment.