ユーザー名に「root」や「admin」を使うのは危険

この記事のURLhttp://japan.internet.com/webtech/20070918/5.html

チェックポイント・ソフトウェア・テクノロジーによると、 米国メリーランド大学 A. James Clark School of Engineering が、 もっとも安全性の高いユーザー名とパスワード一覧を定量化した研究報告を行った。

研究では、 安全性の低いと考えられるユーザー名やパスワードを使用していると、 攻撃者が企業情報リソースに不正にアクセスする可能性がより高くなる、 と警告している。

この研究は、Clark School 機械工学科助教授の Michel Cukier 氏が実施したもの。 ソフトウェアを使用した単純な手法で大量のコンピュータを無作為に攻撃する「ブルート フォース ハッカー」の行動をプロファイリングしている。

悪意ある攻撃のイメージは、 テレビや映画では、 特定の機関を標的にした手作業によるコンピュータへの侵入として描かれがちだが、 Cukier 氏によれば、 攻撃者のほとんどが自動化されたスクリプトを使用、 一度に何千ものコンピュータを無差別に見つけ出してそれらの脆弱性を探しているそうだ。

実際にセキュリティの脆弱な Linux マシン4台を使って、 これらのマシンがどのように攻撃されるか記録したところ、 圧倒的多数の攻撃は「辞書スクリプト」 （一般的なユーザー名とパスワードのリストを一通り試してコンピュータに侵入しようとするタイプのソフトウェア）を使用した、 低レベルの攻撃だった。

また、 辞書スクリプトで最も試行回数が多かったユーザー名は「root」で、 2位の「admin」の12 倍以上試行されていた。 試行されることが多いその他のユーザー名は、 「test」「guest」「info」「adm」「mysql」「user」「administrator」「oracle」。

さらに、 研究では、 ユーザー名とまったく同じか、 または関連性があるパスワードは使用すべきでない、と警告している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。