リモートデスクトップに強力なパスワードを設定する方法
ITセキュリティ企業のRapid7は、悪意のある人物がシステムに侵入しようとするおもしろい実験を1年間行いました。結果は興味深いものでした。控えめに言っても、1文字のXは、最もよく使用されたパスワード試行の1つでした。
Rapid7は、リモートデスクトッププロトコル(RDP)を実行するシステムを模倣するためにハニーポットをセットアップしました。このプロトコルを使用して、システムにリモートでログインしたり、通常は、POS(POS)デバイス、カウンター、およびWindowsコンピューターによって実行されます。
ハッカーは通常、インターネットをスキャンしてRDPシステムを特定し、被害者のパスワードを推測してログインを試みます。 Rapid7のテストでは、ハニーポットへのログイン試行が22万回以上検出されました。これにより、攻撃者がログインしようとしたときに使用した資格情報を調査することができました。
最も一般的なRDPパスワード
同氏は電話インタビューで、「そこにはある程度の相関関係があるが、その順序はすべて間違っている」と述べた。 「私たちが目にする一番のパスワードは「x」です」とRapid7のセキュリティ専門家であるTod Beardsley氏は述べています。
Rapid7が検出した1文字のパスワードはXだけではありません。全部で3つありました。明らかに、システムを保護するために単一の文字を使用することは恐ろしい考えです。セキュリティの専門家は、ハッカーが強引にパスワードを強要する可能性を減らすために、数字と特殊文字を含む長くて複雑なパスワードを推奨しています。
ほとんどのRDPシステムは、パスワードの試行を制限して、アクセスを取得するユーザー以外の確率を減らします。このため、攻撃者は完全にロックアウトされる前に推測することは多くありません。 Tod Beardsleyは、攻撃者が使用した弱いパスワードはランダムではないと考えています。
「これらは明らかに辞書攻撃だ」とビアズリー氏は語った。 「彼らは相互に関連しており、彼らはパスワードの小さなリストを作成している」とセキュリティ専門家は付け加えた。
ハニーポットがデータを収集していた1年の間に、Rapid7は4,000を超えるパスワードを取得しましたが、そのうちの20%しか一度しか表示されず、二度と使用されませんでした。
Tod Beardsleyは、ハッカーが同じ資格情報を繰り返し使用することを期待しているとコメントしました。ただし、RDPを実行しているPOSシステムの新しい潜在的な資格情報を発見すると、彼らはそれを試み、すべての脆弱なシステムを見つけて、次に進みます。
「彼らは二度と見ることはない。毎週のスキャンのようなものではない」とビアズリー氏は語った。
デフォルトのログイン認証情報または脆弱なパスワードを使用することは、多数のPOSデバイスを実行している企業にとって特に危険です。ネットワークが侵害されたり、デバイスがハッキングされたりすると、膨大な数のクレジットカード番号が盗まれる可能性があります。
セキュリティの専門家は、RDPをPOSデバイス上でインターネットに公開したままにしておくべきではないとアドバイスしていますが、それは頻繁に発生します。調査中に、Rapid7はインターネットをスキャンし、RDPを実行している1100万のシステムを発見しました。ログインせずにそれらのうちのいくつがPOSシステムであるかを推定することは不可能です(これは違法です)が、それらの多くが高い確率である。
「1100万かそこらのエンドポイントをスイープするとき、私は喜んで賭けます。これらのものに何百、何百ものヒットがあります。そのため、特にそれらが販売時点情報管理システム」と述べた。
リモートデスクトップを保護するための12のヒント
-
- オープンインターネット経由のRDP接続をブロックします。
- 複雑なパスワードと2要素認証を使用します。
- ログイン試行の失敗が多すぎるIPをブロックします。
- RDPゲートウェイを使用します。
- ドメイン管理者アカウントのアクセスを制限します。
- ローカル管理者の数を可能な限り少ない数に減らします。
- ファイアウォールを有効にします。
- 制限付き管理モードを有効にします。
- ネットワークレベルの認証を有効にします。
- ローカル管理者アカウントが一意であり、RDPを使用してログオンできるユーザーを制限していることを確認してください。
- ネットワーク内での配置を検討してください。
- 組織情報を明らかにしないアカウント命名規則を使用します。