パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に

攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。

具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。

またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。

また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。

（Security NEXT - 2019/08/09 ） ツイート

PR

関連記事

ニッケがサイバー攻撃被害 - ダークウェブで流出情報を確認
一部利用者から「身に覚えのないログイン」の報告 - Qoo10
メルアカに不正アクセス、スパムの踏み台に - 鹿児島市の総合病院
約700件のアカウントで不正ログイン被害、ポイント不正利用も - PinT
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大
オンラインサービスで不正ログインか、詳細を調査 - 西濃運輸
「ぐるなび」で不正ログイン - 対象会員のPWリセットを実施
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
郡上八幡の特産品扱う通販サイトが不正アクセス被害
配達予定通知など行う佐川急便の会員制サービスにPWリスト攻撃