1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 攻撃者は「ユーザー名と同じパスワードを試す」が4割以上
セキュリティニュース

攻撃者は「ユーザー名と同じパスワードを試す」が4割以上

セキュリティベンダーのチェックポイント・ソフトウェア・テクノロジーズによると、攻撃者がコンピューターに侵入する際、パスワードを破る手口の4割以上は、「ユーザー名と同じ文字列をパスワードとして試す」ことが調査結果として報じられました。

「パスワード破りの4割は、ユーザー名と同じ文字列を試す」米研究者(IT Pro)

 調査を実施したのは、米国メリーランド大学のMichel Cukier助教授と2人の大学院生。修正プログラムなどを適用していない脆弱(ぜいじゃく)なLinuxコンピューター4台をインターネットに接続し、それらへの攻撃を記録。攻撃の傾向などを定量的に評価した。

 その結果、調査に使用したコンピューターは、1日平均2244回の攻撃を受けたという。その攻撃のほとんどは、「辞書スクリプト(ユーザー名やパスワードに使われがちな文字列を集めた専用の辞書を使って、ログインを自動的に試行するソフトウエア)」を使用した、「レベルの低い洗練されていないハッカーたちによる攻撃」だったという。

記事によると、試行される回数が最も多かったユーザー名は「root」ということです。その他、試行される回数が多かったユーザー名のトップ10は以下の通りでした。

 root
 admin
 test
 guest
 info
 adm
 mysql
 user
 administrator
 oracle

傾向としては、(1)ユーザー名と同じ文字列、(2)ユーザー名を若干変えた文字列が最も一般的で、攻撃の約4割は、ユーザー名と同じ文字列をパスワードとして試すとのこと。

また、ユーザー名の最後に「123」を追加するものや、以下の文字列をパスワードとして試す攻撃が多かったということです。

 123456
 password
 1234
 12345
 psswd
 123
 test
 1

攻撃者に簡単にコンピューターへ侵入されることのないよう、上記文字列のユーザー名やパスワードを使用することは避けるべきです。特に、パスワードには、大文字や小文字、数字などが混在する文字列を使うといった慎重な管理が必要です。

関連キーワード:

クラッキング