180万件のパスワードを調べて分かった ダメな管理者パスワード「トップ20」

ユーザーよりも管理者の方が、サイバー攻撃を受けた場合のダメージが大きい。当然強固なパスワードで守られていなければならない。だが、調査によれば、そうではないことが分かった。

[畑陽一郎，キーマンズネット]

　安易なパスワードを設定する従業員に困っている管理者は多いだろう。では、管理者自身はどうだろうか。安易に推測されない強固なパスワードを設定できているだろうか。

　脆弱（ぜいじゃく）性評価や継続的暴露管理（CTEM）ソリューションを提供するOutpost24は、2023年10月17日、管理者が使うパスワードのランキング（上位20位）を公開した。180万件以上の管理者のパスワードを調査したものだ。それによると、管理者はエンドユーザーと同じようにパスワードの使い回しをする傾向があるという。

従業員をばかにできない管理者のひどいパスワード、トップ20

　次に挙げるのは管理者のパスワード上位20件だ。これらは簡単に攻撃者に突破されてしまう恐れがある。こうしたパスワードを設定していないどうか、あらためて確認してほしい。

　結論から言うと、管理者はエンドユーザーと同じようにパスワードの使い回しをする傾向があるという。最も多かったパスワードは「admin」で、180万件中4万件を超えていた。管理ソフトウェアなどの「デフォルトパスワード」をそのまま使っている管理者が多いようだ。

デフォルトパスワードとは何か

　デフォルトパスワードとは、ネットワーク機器やサーバ管理ソフト、アプリケーションのためにあらかじめ定義されたパスワードのことだ。通常はデフォルトアカウントに関連付けられており、初期セットアップ時にのみ使うものだ。

　admin、password、12345などデフォルトパスワードはよく知られており、製品のドキュメントを調べたり、オンラインで検索したりすることで簡単に探し出すことができる。つまり、攻撃者にとっては最も簡単な侵入口だと言える。これは巨大な脆弱性だ。

　近年、英国政府の「製品セキュリティおよび電気通信インフラストラクチャ法」（Product Security and Telecommunications Infrastructure Bill：PSTI）やカリフォルニア州のデフォルトパスワード法（default password law：Senate Bill 327）などの法律がデフォルトパスワードの使用を禁止した。

　しかし、デフォルトパスワードはいまだに広く使われている。

管理者のパスワード「トップ20」　これはひどい

　次に挙げたのは管理者パスワードの上位20件だ。このリストにあるパスワードのほとんどは、かなり単純なパスワード推測攻撃で簡単に突破できる。

（1）	admin	（11）	demo
（2）	123456	（12）	root
（3）	12345678	（13）	123123
（4）	1234	（14）	admin@123
（5）	Password	（15）	123456aA@
（6）	123	（16）	01031974
（7）	12345	（17）	Admin@123
（8）	admin123	（18）	111111
（9）	123456789	（19）	admin1234
（10）	adminisp	（20）	admin1

　Outpost24の分析データは、ユーザー名やパスワード、その他の認証情報を保持するアプリケーションを狙うマルウェアの一種「クレデンシャルステイラーソフトウェア」の分析に基づく。

　こうして取得したパスワードリストから管理者パスワードだけを抽出するために、Outpost24は自社の脅威インテリジェンスソリューション「Threat Compass」のバックエンドに保存された統計データから、管理者ポータルとして特定されたWebサイトを検索した。2023年1月〜9月に回収できたパスワードは合計180万件だった。

　上位20件を見ると、既知の予測可能なパスワードに限定されている。それでも、管理者ポータルに関連しているものだけがリストアップされているため、攻撃者が特権ユーザーを標的にするために使われるリストと重複する部分が多いだろう。

　状況が分かったところで、次にマルウェアがどのように管理者を狙い、どのようなパスワードが脆弱なのかを紹介する。

パスワードを盗むマルウェアの仕組み

　マルウェアの形態は多種多様で、さまざまなソーシャルエンジニアリングの手口を通じて、標的のシステムに送り込まれる。フィッシングは最も広く知られている手口だ。さらに近年、組織化されたサイバー犯罪グループ（Traffersとして知られるグループ）の台頭により、より専門的なマルウェアが送り込まれるようになってきた。

　Traffersはまず「YouTube」の動画やGoogleの広告を通じてユーザーを不正なコンテンツに誘い、マルウェアを拡散する。次に管理者向けツールの広告を使って管理者を狙う。広告などをクリックすると、予想とは異なるWebサイトにリダイレクトしてしまう。リダイレクト先の不正サイトは、マルウェアを正規のソフトウェアにバンドルすることで検出を回避するため、危険を察知しにくい。

　マルウェアがいったん管理者側にインストールされると、バックグラウンドで静かに動作し、管理者のPCのログイン情報などを収集する。次のようなソフトウェアも狙われる。

• 「Google Chrome」などのWebブラウザ
• 「WinSCP」などのFTPクライアント
• 「Microsoft Outlook」などのメールクライアント
• 「ビットコイン」などのウォレットファイル

　高度なマルウェアであれば、システムが利用する通常の暗号化機構を利用してアプリケーションの平文パスワードを盗み出してしまう。Google Chromeの場合、マルウェアが被害者に代わってWebブラウザの暗号化ツールにリクエストを出し、PCに保存されているパスワードを復号する。

　こうなると打つ手がない。盗み出されたパスワードは専用のマーケットプレースに送られて、売買の対象になり、アカウント乗っ取りやクレデンシャルスタッフィング攻撃に利用されてしまう。

ビジネスデータを守るための2つの方法

　パスワードやビジネスデータを保護するためには、2つの方法がある。一つは標準的なベストプラクティスを用いたパスワードの保護、もう一つはマルウェア感染の回避だ。

パスワードを保護するには

　すぐにできることはデフォルトのパスワードの利用を止めて、アカウントごとに必ずユニークで長く強固なパスワードを作成することだ。一つのパスワードだけでなく、ネットワーク全体で実施する。

　Outpost24が無償ダウンロード提供する「Specops Password Auditor」のようなツールを使って、管理者パスワードが不適切でないかどうかを確認できる。このツールは読み取り専用で動作し、「Active Directory」をスキャンして、どのアカウントが同一のパスワードや空白のパスワード、期限切れのパスワード、漏えい済みのパスワードを使用しているのかを調べる。Active Directoryのパスワードが同一な場合、一般的なパスワードを利用しているか、もしくは管理者が複数のアカウントで同じパスワードを使用している可能性がある。これは良くない傾向だ。

　この他にも管理者パスワードに関連する脆弱性がある。古くなった管理者アカウントや委任可能な管理者アカウントなどが残っていることだ。

マルウェア感染を防ぐには

　マルウェア感染を防ぐことはパスワードを保護するよりも難しい。まず、攻撃者の動向について常に把握しておく必要がある。サイバーセキュリティのエコシステムは常に進化しているためだ。脅威インテリジェンスソリューションを導入することで、最新の脅威と、保護を維持するために必要なセキュリティ対策を特定できる。

　Traffersのような今日の脅威に対する実践的なアプローチとしてOutpost24が推奨するのは次のような手法だ。

• EDRやウイルス対策など、最新のマルウェア対策ソリューションを使用する
• Webブラウザに保存された認証情報はマルウェアによって簡単に取得される可能性があるため、Webブラウザのパスワード保存や自動入力設定を無効にする
• 広告やリンクをクリックした後、目的のサイトにリダイレクトされたことを確認する
• ドメインのタイポスクワッティング、本来あるべきコンテンツとは異なる内容のWebサイトなど、不自然なWebサイトに細心の注意を払う
• 企業や個人のデバイスにあるライセンスがないソフトウェアを使わない（マルウェアが混入している可能性がある）
• マルウェアによってユーザーの認証情報が取得されてしまった場合、標的型攻撃を警戒する。そのためのツールやソリューションを用意しておく