ユーザー名に「root」や「admin」を使うのは危険

チェックポイント・ソフトウェア・テクノロジーによると、 米国メリーランド大学 A. James Clark School of Engineering が、 もっとも安全性の高いユーザー名とパスワード一覧を定量化した研究報告を行った。

研究では、 安全性の低いと考えられるユーザー名やパスワードを使用していると、 攻撃者が企業情報リソースに不正にアクセスする可能性がより高くなる、 と警告している。

この研究は、Clark School 機械工学科助教授の Michel Cukier 氏が実施したもの。 ソフトウェアを使用した単純な手法で大量のコンピュータを無作為に攻撃する「ブルート フォース ハッカー」の行動をプロファイリングしている。

悪意ある攻撃のイメージは、 テレビや映画では、 特定の機関を標的にした手作業によるコンピュータへの侵入として描かれがちだが、 Cukier 氏によれば、 攻撃者のほとんどが自動化されたスクリプトを使用、 一度に何千ものコンピュータを無差別に見つけ出してそれらの脆弱性を探しているそうだ。

実際にセキュリティの脆弱な Linux マシン4台を使って、 これらのマシンがどのように攻撃されるか記録したところ、 圧倒的多数の攻撃は「辞書スクリプト」 （一般的なユーザー名とパスワードのリストを一通り試してコンピュータに侵入しようとするタイプのソフトウェア）を使用した、 低レベルの攻撃だった。

また、 辞書スクリプトで最も試行回数が多かったユーザー名は「root」で、 2位の「admin」の12 倍以上試行されていた。 試行されることが多いその他のユーザー名は、 「test」「guest」「info」「adm」「mysql」「user」「administrator」「oracle」。

さらに、 研究では、 ユーザー名とまったく同じか、 または関連性があるパスワードは使用すべきでない、と警告している。