パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に
攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。
具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。
またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。
また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。
(Security NEXT - 2019/08/09 )
ツイート
PR
関連記事
物流関連サービスへ不正アクセス、個人情報流出のおそれ - 西濃運輸
利用していたシフト管理SaaSから従業員情報が流出 - 西友
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
従業員アカウントが不正利用、フィッシング踏み台に - 常石G
複数サーバでランサム被害、痕跡未確認も情報流出の可能性 - はるやまHD
三井ショッピングパーク会員サイトで不正ログイン被害を確認
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
グループ会社サーバから個人情報が流出 - 茨城県の人材サービス会社
佐川急便の会員サービスで不正ログイン - アクセスを一時制限
