昨今話題になっているWordPressの改ざん事件ですが、もう一つの鍵がありました。デフォルトユーザーであるadminで利用しているとアカウントを乗っ取られるという話です。
実は、WordPressに限らずアプリケーションやOSには管理者権限を持ったデフォルトユーザーというものが存在しています。当たり前の話なのですが、それがないと利用を開始できないからですね。ただ、デフォルトユーザーというのは存在が広く知られているため、ブルートフォース攻撃(総当たり攻撃)でアカウントを乗っ取られる可能性があるのです。また、多くの人は平易なパスワードをつけてしまうために辞書攻撃でも容易にアカウントを乗っ取られる可能性があります。
では、どうすればいいのでしょうか?
一般に、アプリケーションの場合は管理者権限を持った別のユーザーを作った後に、デフォルトユーザーを削除するのが鉄則です。また、OSの場合はデフォルトユーザーでログインできなくしたり、遠隔からのログインを出来なくするのが鉄則になります。
そういえば、昔の会社でWindowsの端末を大量導入したときは「Administrator」ユーザーをいちいち無効化してたっけなぁと思い出しつつ、このエントリを書いています。WindowsVista以降にどうなったかは知りませんが、XPまでは標準で有効(しかもパスワード無し)になっていたので…
投稿者プロフィール
最新の投稿
情報システム関連2019.08.02パスワード付きZIPを添付してメール送信することに意味はあるのか?- 情報システム関連2019.07.042019年7月4日14時の7payに関する記者会見を見て
- 情報システム関連2019.04.10企業が成長したら法人向け機器を導入しよう!
- 情報システム関連2019.02.27フィッシングサイトに引っ掛からないための方法
