パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に

攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。

具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。

またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。

また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。

（Security NEXT - 2019/08/09 ） ツイート

PR

関連記事

UTM設置時のテストアカウントが未削除、ランサム感染の原因に
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
従業員メルアカに不正アクセス、スパム踏み台に - 組込機器メーカー
計算用サーバが攻撃の踏み台に、テストアカを侵害 - お茶大
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
求職情報サイトで遠隔操作やデータ取得の形跡 - 日刊工業新聞
サイトに不正アクセス、テスト環境でPW窃取される - 日水コン
ランサムウェア被害による情報流出を確認 - アニエスベー
淀川河川公園施設予約サイトのテストサーバで不正通信 - 個人情報流出か
発覚2カ月前にもマルウェア実行の痕跡、情報流出は否定 - こころネット