パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に
攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。
具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。
またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。
また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。
(Security NEXT - 2019/08/09 )
ツイート
PR
関連記事
メルアカに不正アクセス、個人情報流出の可能性 - オークション事業者
ニデック子会社のサイバー攻撃被害 - データ約5万件が公開
予約管理システムが侵害、個人情報が流出 - アソビュー
職員アカウントが侵害、スパムの踏み台に - 日中経済協会
転職サイトのスマホアプリにPWリスト攻撃 - キャリアデザインセンター
「ミドルの転職」にPWリスト攻撃、不正ログインが発生
公益財団法人運営の産廃業者検索サイトで情報流出の可能性
宿泊予約サービスの口座情報が改ざん、不正送金被害 - ポラリスHD
海外子会社でM365に不正アクセス、スパムの踏み台に - TEIKOKU
ランサムウェア被害が発生、受発注や出荷に影響 - 松沢書店

