重要インフラ運営企業に未公開の脆弱性対策情報の提供も~JPCERT/CC - Internet Watch
ちょっとエンドユーザ向けの話じゃないんですが、JPCERT/CCの第3四半期の活動報告が先日行われました。
まぁ、詳しい報告内容はレポート(PDF)を読んでもらうとして、気になったのは「日本語(2バイト文字)対応のブルートフォース攻撃」というキーワード。
ブルートフォース(力業によるパスワード解析)攻撃とは、文字通り「力業、即ち総当たり」でパスワードを解く方法で、乱暴な攻撃方法ですが、時間さえかければ必ずいつかは解ける攻撃方法です。
最近はマシンスペックが向上し、通信環境も高速化している事から、十分現実的な攻撃方法の1つになっています。
が、従来は日本語、つまり2バイト文字に対応した攻撃ツール(手法)は考えられなかったんですが、遂に2バイト文字にも対応した攻撃ツールが登場した……という事。
これは従来の安全なパスワードの定説である「大文字・小文字・数字・記号混じりである程度の長さの文字列」が、決して安全ではなくなりつつあるという事を意味します。
やはり定期的にパスワードは変更が必要……という事ですね。
攻撃に成功し乗っ取ったサーバは、フィッシング詐欺などの踏み台にされるケースが多い事から、特にサーバを立てている人は定期的に管理者アカウントのパスワードは変更するようにしましょうね。
ちょっとエンドユーザ向けの話じゃないんですが、JPCERT/CCの第3四半期の活動報告が先日行われました。
まぁ、詳しい報告内容はレポート(PDF)を読んでもらうとして、気になったのは「日本語(2バイト文字)対応のブルートフォース攻撃」というキーワード。
ブルートフォース(力業によるパスワード解析)攻撃とは、文字通り「力業、即ち総当たり」でパスワードを解く方法で、乱暴な攻撃方法ですが、時間さえかければ必ずいつかは解ける攻撃方法です。
最近はマシンスペックが向上し、通信環境も高速化している事から、十分現実的な攻撃方法の1つになっています。
が、従来は日本語、つまり2バイト文字に対応した攻撃ツール(手法)は考えられなかったんですが、遂に2バイト文字にも対応した攻撃ツールが登場した……という事。
これは従来の安全なパスワードの定説である「大文字・小文字・数字・記号混じりである程度の長さの文字列」が、決して安全ではなくなりつつあるという事を意味します。
やはり定期的にパスワードは変更が必要……という事ですね。
攻撃に成功し乗っ取ったサーバは、フィッシング詐欺などの踏み台にされるケースが多い事から、特にサーバを立てている人は定期的に管理者アカウントのパスワードは変更するようにしましょうね。
