昨今話題になっているWordPressの改ざん事件ですが、もう一つの鍵がありました。デフォルトユーザーであるadminで利用しているとアカウントを乗っ取られるという話です。
実は、WordPressに限らずアプリケーションやOSには管理者権限を持ったデフォルトユーザーというものが存在しています。当たり前の話なのですが、それがないと利用を開始できないからですね。ただ、デフォルトユーザーというのは存在が広く知られているため、ブルートフォース攻撃(総当たり攻撃)でアカウントを乗っ取られる可能性があるのです。また、多くの人は平易なパスワードをつけてしまうために辞書攻撃でも容易にアカウントを乗っ取られる可能性があります。
では、どうすればいいのでしょうか?
一般に、アプリケーションの場合は管理者権限を持った別のユーザーを作った後に、デフォルトユーザーを削除するのが鉄則です。また、OSの場合はデフォルトユーザーでログインできなくしたり、遠隔からのログインを出来なくするのが鉄則になります。
そういえば、昔の会社でWindowsの端末を大量導入したときは「Administrator」ユーザーをいちいち無効化してたっけなぁと思い出しつつ、このエントリを書いています。WindowsVista以降にどうなったかは知りませんが、XPまでは標準で有効(しかもパスワード無し)になっていたので...
投稿者プロフィール
最新の投稿
情報セキュリティ2022.01.20Coinhive事件の最高裁判決について
お知らせ2022.01.20打合せ予約システムを変更しました
情報セキュリティ2022.01.13Emotetの活動が改めて活発化しています- お知らせ2022.01.01新年あけましておめでとうございます
