ハッカーがデバイス攻撃時に最初に試すパスワードとは

　弱いパスワードやデフォルトのパスワードを使うのは間違いであることを示す証拠が、また1つ増えたと言っていいだろう。ハッカーがデバイスを乗っ取ろうとする時、実際に最初に試すのがその種のパスワードであることが、調査によって明らかになった。

　セキュリティ会社のF-Secureは、世界中の国に「おとりサーバー」（ハニーポット）を配置し、サイバー攻撃のパターンを調べている。これらのサーバーに入ってくるトラフィックの大半は、不正アクセスの標的とするサーバーを見つけるためにインターネットをスキャンしているハッカーが、おとりに掛かった結果として集まったものだ。

よく使われている弱いパスワードは？

　同社によれば、これらのハニーポットに対するトラフィックは、2019年に大幅に増加したという。同社は、この「攻撃トラフィック」の増加は、モノのインターネット（IoT）デバイスを標的とした脅威が増えたことを反映しているという。

　「ハニーポットに集まったトラフィックを見ると、SMBやTelnetのプロトコルを狙ったアクションで増えている。これは、攻撃者が今も『EternalBlue』の脆弱性を標的にしていることや、感染したIoTデバイスが大量に存在することを示している」と同社は述べている。

　同社のデータによれば、調査期間中にもっとも多く狙われたポートはSMBポート445 で、これは攻撃者が、今もEternal BlueなどのSMBの脆弱性を利用するエクスプロイトを悪用したがっていることを示している。例えば、「Trickbot」はEternal Blueを拡散の手段にしている。Telnetも標的になることが多く、これはIoTデバイスを標的とした攻撃の一環である可能性が高い。「SSH」のポート22も標的とされている。SSHはリモートから安全にアクセスするための仕組みだ。

　潜在的な脆弱性を持つデバイスを発見した攻撃者は、次の手順として、そのデバイスへのアクセスを獲得しようとする。

　F-Secureによれば、ハッカーが「大昔から変わらずに」必ず試してみるパスワードが「admin」だという。このパスワードはどんなデバイスであっても、そして特にインターネットに接続されているデバイスでは使うべきではないだろう。ほかのよく試されるパスワードには、「12345」「default」「password」「root」などがある。英国の国家サイバーセキュリティセンター（NCSC）の2019年のレポートでは、過去に漏えいしたパスワードの中に、「12345」と非常によく似た「123456」が2300万件発見されたことが明らかになっている。

　F-Secureは、ハッカーがこうしたパスワードを試していることは、最近標的になることが多いデバイスの種類を反映していると述べている。よく試されるパスワードのリストに挙がっているのは、ルーターなどに設定されている、工場出荷時のデフォルトパスワードだ。

　同社は、「IoTデバイスに工場出荷時に設定されているデフォルトのユーザー名とパスワードを片っ端から総当たりで試すことは、それらのデバイスを、DDoS攻撃に利用するボットネットに組み込むためには効果的な手法となっている」と警告している。

　英政府は最近、インターネットに接続されるすべての消費者向けデバイスには、ほかのデバイスとは異なるパスワードを設定しなくてはならず、工場出荷時の共通の設定にリセットできてはならないとするガイドラインを公表している。