Rapid7は10月20日、RDPおよびSSHにおいて頻繁に利用されるアカウント名およびパスワードに、セキュリティが懸念される調査結果が得られたとして注意喚起を発表した。

　RDP(Remote Desktop Protocol)とSSHは、いずれもクラウドの仮想マシンを操作するために高頻度で利用されているプロトコル。Rapid7の調査では、

○RDPで数多く使われているユーザ名の上位3つは、「administrator」「user」「admin」
○SSHで数多く使われているユーザ名の上位3つは、「root」「admin」「nproc」
○SSHとRDPで数多く使われているパスワードの上位3つは、「admin」「password」「123456」

という結果となった。

　Rapid7は、同社が仕掛けたハニーポット(わざと侵入させハッカーの手口を調査する仕組み)の、RDPとSSHを攻撃するためにハッカーが使用した認証情報を調査した。調査期間中、数千万回の接続の試みがあり、50万件のパスワードが観測された。そして、ハニーポットで収集したデータセットを、ソーシャルゲームサイト「RockYou」の80億件のユーザ名およびパスワードのリストと比較した。その結果、ハニーポットへのアクセスに使用されたパスワードと、rockyouのデータセットはほぼ一致することを発見した。

　この観測内容から、オンライン認証情報の攻撃者は、ランダムなパスワードを生成しているのではなく、類推可能なパスワードのリストを使っているという結論に至った。また、ハニーポットのデータから、攻撃者が使用しているパスワードは、「admin」「password」「123456」など、かなり類推が容易なものであると明らかにした。

　SSHのセキュリティ施策では、Rapid7ではそもそもパスワードベースの認証を無効とし、証明書による認証を用いることを推奨している。このようなユーザ名およびパスワードの利用は大変危険であり、ユーザ名・パスワードの見直しを行うようユーザに呼びかけている。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事