パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に

攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。

具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。

またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。

また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。

（Security NEXT - 2019/08/09 ） ツイート

PR

関連記事

チャットアプリの従業員アカウントに不正アクセス - フィッシングに悪用
歯科衛生士転職サイトに不正ファイル - 影響などを調査
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
予約管理システムから顧客にフィッシングメッセージ - 福岡のホテル
VPN経由で侵入、複数サーバがランサム被害 - 中央学院大
ECサイト管理画面に不正アクセス、一部顧客情報が流出 - NSバイオジャパン
ランサム攻撃で業務用サーバから情報流出の可能性 - 美濃工業
海外通販サイトに不正アクセス、会員情報流出の可能性 - BEENOS子会社
「SESマッチングサービス」のメルアカに不正アクセス - アデコ
サーバ内にバックドア、個人情報流出の可能性 - ケイ・ウノ