昨今話題になっているWordPressの改ざん事件ですが、もう一つの鍵がありました。デフォルトユーザーであるadminで利用しているとアカウントを乗っ取られるという話です。
実は、WordPressに限らずアプリケーションやOSには管理者権限を持ったデフォルトユーザーというものが存在しています。当たり前の話なのですが、それがないと利用を開始できないからですね。ただ、デフォルトユーザーというのは存在が広く知られているため、ブルートフォース攻撃(総当たり攻撃)でアカウントを乗っ取られる可能性があるのです。また、多くの人は平易なパスワードをつけてしまうために辞書攻撃でも容易にアカウントを乗っ取られる可能性があります。
では、どうすればいいのでしょうか?
一般に、アプリケーションの場合は管理者権限を持った別のユーザーを作った後に、デフォルトユーザーを削除するのが鉄則です。また、OSの場合はデフォルトユーザーでログインできなくしたり、遠隔からのログインを出来なくするのが鉄則になります。
そういえば、昔の会社でWindowsの端末を大量導入したときは「Administrator」ユーザーをいちいち無効化してたっけなぁと思い出しつつ、このエントリを書いています。WindowsVista以降にどうなったかは知りませんが、XPまでは標準で有効(しかもパスワード無し)になっていたので...
投稿者プロフィール
最新の投稿
- お知らせ2024/10/02臨時休業のお知らせ
- 情報システム関連2024/08/07「中小企業の情報システム担当者不足をどう解決する?」ウェビナー動画公開
- お知らせ2024/07/29夏季休業のお知らせ
- お知らせ2024/07/16情報セキュリティメールマガジン7月号発行中止のお知らせ