パターン
幸いにも、この手の攻撃にはパターンが存在する。パターンを見出せば、攻撃に対する賢明な対策を考案することが可能になる。
今回の問題に関する複数のセキュリティ関連の投稿を読み、自分のログを確認したところ、今回の攻撃が「admin」ユーザーのパスワードを解明する行為に集中していることが明らかになった。私が注目しているサイトのスタッツをチェックしたところ、99%に近い確率で「admin」ユーザーが狙われる点が判明した。その他の推測は、「administrator」や「Admin」に集中していた。また、ドメイン名の主な部分をユーザー名として利用するケースも見られた。 例えば、ithemes.comと言うサイトでログインを試みる場合、「ithemes」をユーザー名と考慮するパターンが見られた。
アップデート: この記事を投稿した後、ボットは、頻繁に試すユーザー名を追加した。新たに加えられたユーザー名は「moderator」と「editor」である。このユーザー名はそれぞれ全体の10%以上に達している。そのため「admin」、「editor」、「moderator」と言うユーザー名の利用を控えるべきである。このようなユーザー名を利用しているなら、次のセクションを参考にして削除しよう。
また、利用されるパスワードにも明確なパターンが存在する。非常に脆弱なパスワードを選ぶ人達が多いため、当然である。残念ながら、記憶しやすいパスワードは、推測もしやすい。ここ数日間で推測されているパスワードを確認したところ、次のパスワードが特に推測される回数が多かった:
- admin
- admin123
- 123456
- 123123
- 123456789
- password
- 1234
- root
- 1234567
- 12345
- qwerty
- welcome
- pass
- abc123
- 12345678
- 1111
- test
- monkey
- iloveyou
- dragon
- demo
ご覧のように、基本的な英語のワード、入力しやすい文字、または、数字が利用されている。このタイプのパスワードの推測が頻繁に行われるのは、多くのサイトで実際に功を奏しているためである。つまり、このようなパスワードを今でも利用するユーザーが多いため、ハッカーに狙われているのだ。
この攻撃には多数のコンピュータが参加している。あるレポートによると、この攻撃には、9万以上の固有のIPアドレスが加わっているようだ。実際に、私が運営するサイトの一つへのログインを試みるため、246のIPアドレスが用いられていた。これがボットネット攻撃の力であり、まさに四面楚歌の状態である。
