パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に

攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。

具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。

またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。

また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。

（Security NEXT - 2019/08/09 ） ツイート

PR

関連記事

日本郵便に不正アクセス - 約4000件の不正メール
不正アクセスでスパムの踏み台に - 山梨県の文化施設
不正アクセスでスパム送信、情報流出のおそれも - 長岡技科大
保育園向け連絡帳アプリで情報流出 - テスト環境への不正アクセス
メルアカ2件に不正アクセス、不正転送など発生 - 農工大
不正アクセス原因、PWスプレー攻撃の可能性 - 東京企画
サーバ公開後に不正アクセス、フィッシングの踏み台に - お茶大
ハードオフ通販サイトにパスワードリスト攻撃
「宅ふぁいる便」が終了 - 「オフィス宅ふぁいる便」は継続
不正ログイン被害、あらたに53件が判明 - 東北電力