昨今話題になっているWordPressの改ざん事件ですが、もう一つの鍵がありました。デフォルトユーザーであるadminで利用しているとアカウントを乗っ取られるという話です。
実は、WordPressに限らずアプリケーションやOSには管理者権限を持ったデフォルトユーザーというものが存在しています。当たり前の話なのですが、それがないと利用を開始できないからですね。ただ、デフォルトユーザーというのは存在が広く知られているため、ブルートフォース攻撃(総当たり攻撃)でアカウントを乗っ取られる可能性があるのです。また、多くの人は平易なパスワードをつけてしまうために辞書攻撃でも容易にアカウントを乗っ取られる可能性があります。
では、どうすればいいのでしょうか?
一般に、アプリケーションの場合は管理者権限を持った別のユーザーを作った後に、デフォルトユーザーを削除するのが鉄則です。また、OSの場合はデフォルトユーザーでログインできなくしたり、遠隔からのログインを出来なくするのが鉄則になります。
そういえば、昔の会社でWindowsの端末を大量導入したときは「Administrator」ユーザーをいちいち無効化してたっけなぁと思い出しつつ、このエントリを書いています。WindowsVista以降にどうなったかは知りませんが、XPまでは標準で有効(しかもパスワード無し)になっていたので…