最近流行のCMSに限らず、サーバーとかのユーザーを作成する際に気を付けるべき事を、事例を挙げて説明します。実は、ユーザーを作成する際に一定のルールを守らないと、本来未知であるはずのユーザー名やパスワードが容易に推測されてしまう事態になってしまい、最終的には知らぬ間に乗っ取られてしまうと言う事になりかねないのです。

一般に、CMS等のユーザーを作成する際には「root」や「admin」「administrator」といった、管理ユーザーに多く使われるユーザー名は避けるようにいわれています。なので、このようなユーザー名を付ける人は少なくなっているものと推測されるのですが、実は、それ以外にも避けるべきユーザー名やパスワードが存在しています。それは何かと言いますと「表から見える情報は使わない」というものです。表から見える情報とは何でしょうか?

以下に、代表が個人で運営しているブログへの不正アクセスの記録を示しておきます。

Attack-20150708

このサイトではWordPressというCMSを使っていて、デフォルトでユーザー名が露呈してしまいます。そこで、表向きのユーザー名を書き換えるプラグインを使って「管理人」と書き換えています。そうすると「管理人」というユーザー名を使って不正にアクセスしている例が見られるようになりました(①)。もちろん、表向きのユーザー名「管理人」は実際に使っているユーザー名とは別物ですので、いかなるパスワードを入力してもログインに成功する事はありません。ここら辺は、気を付けて実際に使っているユーザー名を表に出さない工夫をされている方は多いと思います。

興味深いのは②の例です。ユーザー名は例によって「管理人」なのですが、パスワードに「katsunori」という文字列を使ってきています。このパターンの良くある例として「katsunori」というユーザー名でログイン試行するというパターンも多く見られます。さて、この「katsunori」という文字列はどこから出てきたものなのでしょうか?実は、このブログは「katsunori.com」というドメインで運用されています。もうお気づきでしょう。ドメイン名をユーザー名やパスワードに使っていると推測してログイン試行しているというパターンになります。

実は、本人が意識しないうちにドメイン名をユーザー名やパスワードに使っている例があるのです。そういった所を見つけて乗っ取ろうというのがこのパターンと言う事になります。ドメイン名は表に出ている情報になりますから、コレを使ってユーザー名やパスワードを作成する事は、ユーザー名やパスワードを表に晒しているのと同じになります。結果として、容易に推測され乗っ取られてしまうと言う事態を招いてしまうのです。もし、このようなユーザーを作成されているのであれば、早急にユーザー情報の変更をする事をお勧めします。

意外と意識せずにやってしまいがちですが、攻撃者はそういった盲点を突いてくるものです。充分に気を付けましょう。

投稿者プロフィール

管理人
管理人