パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に
攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。
具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。
またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。
また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。
(Security NEXT - 2019/08/09 )
ツイート
PR
関連記事
小学校メルアカが乗っ取り、迷惑メールを送信 - 東大和市
セシール通販サイトで不正ログイン被害 - 試行は16回
アルペンにPWリスト攻撃 - 攻撃者は複数店舗でポイント使用
RIZAPのメールアカウントが乗っ取り被害
「カテエネ」不正ログイン、78件があらたに判明 - ポイント交換も
Fostex通販サイトで顧客情報流出か - ECシステムに不正アクセス
中部電力「カテエネ」に不正ログイン - ポイント交換申請など発生
研究室用サーバに不正アクセス、不正ファイルが52件 - 東京女子大
学会メアドから迷惑メール - 日本口腔科学会
niconicoにパスワードリスト攻撃 - 不正ログイン検出
