パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に
攻撃の大量発生を受け、同センターでは、SIEMにおいてパスワードスプレー攻撃を検出するために利用するためのアラートルールを紹介している。
具体的には、一定期間内における認証の試行が増加していないか確認し、組織内部のIPアドレスを除いて検索することで効率化できると説明。現在確認されているケースでは、IDがアルファベット順に試行されていることもヒントになるという。
またIPアドレスごとにおけるログインの成功率や、一般的な名前やジェネレーターを用いたユーザーリストを用意していることもあるとして、実在しないユーザー名の試行など確認することを挙げた。
また緩和策としては、アラートの監視強化にくわえ、多要素認証の導入、複雑なパスワードおよびリセットするポリシーの調整、ロケーションによる遮断、IPアドレスによるホワイトリストの登録といった追加対策を紹介している。
(Security NEXT - 2019/08/09 )
ツイート
PR
関連記事
個人情報流出の可能性、高負荷から事態を把握 - 楽待
ドメイン不正利用、メール5万件が送信 - 三菱地所ハウスネット
教員がサポート詐欺被害、学生情報流出のおそれ - 山形大
都立図書館のメルアカに大量の不達メール - 不正アクセスか
ランサム攻撃でクラウド内データが消失 - 省エネコンサル会社
偽基地局から送信されたフィッシングSMSに注意 - 総務省が注意喚起
約6万件のスパム、森林研究所メルアカが不正利用 - 富山県
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破
派遣スタッフが予約システムに不正アクセス - 東急グループのジム
有形文化財サイトが改ざん、修正時の設定変更を失念 - 秋田市
