特集
カテゴリー
タグ
メディア

不正アクセスで実際に試されたパスワードとユーザー名のトップ10

  • カテゴリー:
  • TOOL
不正アクセスで実際に試されたパスワードとユーザー名のトップ10

大抵の人はパスワードを選ぶとき、「12345」とか、「letmein」(中に入れて)とか、かなり安易なものを選びがち(英文記事)です。では、視点を変えて、不正アクセスをしようとする輩が実際に試しているパスワードやユーザー名には、どんなものが多いのか見てみましょう。情報セキュリティ企業のRapid7がまとめた分析結果から、なかなか興味深いことがわかりました。

Rapid7は「Project Heisenberg」(プロジェクト・ハイゼンベルク)と称して、非公開のIPアドレスで稼動している世界中のハニーポット(不正アクセスの調査などのために設置する「おとり」のシステム)を対象に調査を行いました。同社では、ハニーポットに届くトラフィックはすべて、広範なIPアドレスのスキャンを行うサービスから来ていると想定しています。リモートデスクトッププロトコル(RDP)を使ったハニーポットへのログイン試行の約1年分のデータを分析したところ、119カ国の5000を超える異なるIPアドレスから、22万回以上もの不正なログインの試みが記録されていました。

もっともよく使われたパスワードのトップ10は次の通りです。

パスワード試行回数割合
x118655.36%
Zz105914.79%
St@rt12380143.62%
156792.57%
P@ssw0rd56302.55%
bl4ck4ndwhite51282.32%
admin48102.17%
alex40321.82%
.......26721.21%
administrator22431.01%

ランキング上位のいくつかのパスワードはいかにもありがちですが、「alex」なんて個人名が入っているのはちょっと意外ですね。ともかく、これらのパスワードは絶対に使わないようにしてください。

もっともよく使われたユーザー名のトップ10は、このような結果になりました。


ユーザー名試行回数割合
administrator7712534.87%
Administrator5342724.15%
user185753.88%
admin49352.23%
alex40511.83%
pos23211.05%
demo19200.87%
db2admin16540.75%
Admin13780.62%
sql13540.61%

ここにもなぜか「alex」が入っています。それはともかく、管理者のユーザー名は、「admin」が含まれないものへと変えることをお勧めします。

もっと詳しく知りたい方は、下記のレポートを参照してください。

The Attacker's Dictionary | Rapid7 via BetaNews.

Melanie Pinola(原文/訳:風見隆/ガリレオ)

Photo by automobileitalia.
swiper-button-prev
swiper-button-next