ISR07:2024 – 安全でない認証方式とデフォルトクレデンシャル (Insecure Authentication Methods and Default Credentials)

説明

パスワードは依然としてサイバーセキュリティに不可欠な要素であり、多くの ID およびアクセス管理 (IAM) システムはユーザー名とパスワードの認証に依存しています。安全でない認証方式はサイバーセキュリティにおける一般的な脆弱性であり、その単純さ、予測しやすさ、すなわち複雑さ (長さ) の欠如のために推測やクラックが容易なパスワードを指します。製造業者やベンダーによってハードウェアデバイスやソフトウェアアプリケーションにあらかじめ設定されたデフォルト認証情報は、ユーザーや管理者によって変更されないままであることが多く、セキュリティ脆弱性を生み出しています。

リスク

認証され認可されたユーザーのみが内部リソースにアクセスできるようにするために、認証情報は極めて重要です。脆弱なパスワードはブルートフォースや辞書攻撃などのさまざまな技法を通じて簡単に悪用される可能性があります。一方、デフォルト認証情報は使用する製品のドキュメントで簡単に見つけることができます。攻撃者は変更されていないデフォルト設定や盗んだパスワードでデバイスやアプリケーションを悪用する可能性があります。これは認可されていないアクセス、データ侵害、重要なシステムの侵害につながる可能性があります。

対策

組織はパスワード複雑性要件を適用してリスクを軽減し、多要素認証 (MFA) を導入し、強力でユニークなパスワードの重要性について従業員を教育すべきです。パスワード管理ツールもセキュリティ強化に役立ちます。

攻撃シナリオの例

シナリオ #1: プリンタ ネットワーク接続されたプリンタの多くは広く知られているデフォルトユーザー名とパスワードで出荷されます。攻撃者はこれを悪用してプリンタにアクセスして機密情報を含む印刷ジョブを閲覧できます。これを防ぐには、組織はインストール時にデフォルトプリンタ認証情報を変更して、アクセスを認可された社員に制限する必要があります。

シナリオ #2: ユーザーアカウント ユーザーアカウントのパスワードが脆弱であったり簡単に推測可能であったりすると、攻撃者の主要な標的となります。攻撃シナリオでは、悪意のある従業員が脆弱なユーザーパスワードを悪用して、機密性の高い情報やシステムへの認可されていないアクセスを取得する可能性があります。この脅威に対抗するため、組織はパスワードポリシーを適用して、ログインに複数回失敗した場合にはアカウントロックアウトを導入し、パスワードのベストプラクティスをユーザーに推進します。