パスワード総当たり攻撃とは、パスワード解析によってシステムやネットワークへの権限のないアクセスを行おうとする試みです。総当たり攻撃の対象となりやすいのは、FTP、ssh、Windows を実行しているホストです。
ネットワーク上のホストに総当たり攻撃に対する脆弱性があるかどうかは、スキャン実行時にパスワード総当たり攻撃を行うことで確認できます。確認するには、オプションプロファイルでパスワード総当たり攻撃を有効化し、そのプロファイルをスキャンに適用します。
- システムによって生成されたパスワードリストを使用します。ホストで検出された各ユーザログイン名に対応するパスワードの推測が試みられます。
- パスワード総当たり攻撃のカスタムリストを作成して使用します。
- システムによって生成されたパスワードリストとパスワード総当たり攻撃のカスタムリストの両方を使用します(システムリストが最初にテストされます)。
使用できるパスワードテストには、「None」、「Minimal」、「Limited」、「Standard」、「Exhaustive」の 5 つのレベルがあります。
「Minimal」では、ユーザデータベースへの認証アクセスまたは匿名アクセスが試みられ、ユーザ名に空白のパスワードが設定されていないかどうかがチェックされます。ユーザデータベースにアクセスできなかった場合は、この方法によって Administrator と Guest のパスワードのみがチェックされます。
「Limited」では、上記と同じテスト方法で実行されますが、ユーザ名とパスワードが同一でないこともチェックされます。
「Standard」では、ユーザデータベースへのアクセスが試みられます。アクセスできる場合、上記で説明したテストに加えて、パスワード生成スキームに従ったテストが実施されます。例えば、Windows ホストなどのユーザデータベースにアクセスできない場合、このチェックは Administrator および Guest アカウントに対する「Limited」と同様のチェックになります。
「Exhaustive」では、「Standard」と同様のテストが行われますが、さらに、当社の方式によるパスワードのチェック、リクエストに対する対象の応答速度のチェックが追加で行われます。動的に生成されたパスワードの使用は、「Exhaustive」が選択されたときにのみです。なお、「Exhaustive」を選択すると、スキャンにかかる時間が長くなります。
Windows ホストの場合、「Standard」は「Limited」と同じです。Windows ホストの場合、「Standard」は「Limited」と同じです。
「Standard」レベルを設定して Windows ホストをスキャンすると、常に「Limited」レベルのテストが実施されます。
ドメインコントローラに対するスキャンの場合ドメインコントローラに対するスキャンの場合
ドメインコントローラに対するスキャンの場合、「Exhaustive」が選択されていなければ、「Limited」と同様の動作になります。これは、ドメインコントローラにあるすべてのアカウントがロックされないようにするためです。
各レベルにおける実際の試行回数各レベルにおける実際の試行回数
各レベルで行われる実際の試行回数には複数の要因があります。一定のログイン失敗試行回数を超えた場合はユーザがシステムに接続できなくなるようにロックアウトポリシーを設定している場合は、総当たり攻撃を有効化しないことをお勧めします。これがユーザをロックアウトしないための唯一の方法です。
ログイン/パスワードの組み合わせテストのカスタムリストを作成します。
1)オプションプロファイルで「Password Brute Forcing」項を選択します。「Custom」を選択して「Configure」をクリックします。
2)「New」をクリックします。リストのタイトルを設定し、リストタイプを選択してから、ログイン/パスワードの組み合わせを入力します。まず「L:」の後にログイン名を入力します。次の行には、「P:」の後に対応するパスワードを入力します。パスワードが空白の場合も、「P:」をパスワード行に入力する必要があります。
> リストの例を表示するには、ここをクリックしてください。> リストの例を表示するには、ここをクリックしてください。
L:admin
P:admin
L:Guest
P:
L:Administrator
P:
L:Guest
P:qwerty
L:test
P:test
1)対象ホストの FTP サービスを総当たり攻撃するための、FTP ログイン/パスワードの組み合わせです。スキャンエンジンがホスト上で実行される FTP サービスを検出すると、FTP 総当たり攻撃リストで提供される資格情報を用いてサービスへのログインを試行します。
2)ssh プロトコル(ssh1 および ssh2)をサポートする UNIX ベースのホストを総当たり攻撃するための、ssh ログイン/パスワードの組み合わせです。スキャンエンジンがホスト上で実行される ssh サービスを検出すると、ssh 総当たり攻撃リストで提供される資格情報を用い、サービスにログインを試行します。
3)Windows ホストを総当たり攻撃するための、Windows ログイン/パスワードの組み合わせです。サービスは各対象ホストのローカルユーザデータベースに接続を試行し、Windows 総当たり攻撃リストに記載の資格情報をテストします。ドメインユーザデータベースへの認証を行うために資格情報が Windows ドメインコントローラに転送されることはないので、注意してください。ドメインアカウントを総当たり攻撃するには、ドメインコントローラをスキャンする必要があります。
> リストを作成するパーミッションを持つユーザ> リストを作成するパーミッションを持つユーザ
マネージャおよびユニットマネージャは、サブスクリプションの総当たり攻撃リストを作成、編集、削除できます。
総当たり攻撃リストを削除する場合、選択したリストが 1 つ以上のオプションプロファイルに割り当てられていると、リストはこれらのオプションプロファイルからも自動的に削除されます。
総当たり攻撃テストを検証する方法総当たり攻撃テストを検証する方法
総当たり攻撃が成功したかどうかの情報は、スキャン結果、スキャンレポート、ホスト情報に QID として返されます。
QID 5005 -NetBIOS によるアカウントへの総当たり攻撃(NetBIOS Brute Force of Accounts)。この QID は Windows ホストに対する総当たり攻撃が成功した場合に返されます。成功したログイン/パスワードの組み合わせのリストについては、脆弱性の「Result」項を参照してください。
QID 38259 -SSH ユーザログインへの総当たり攻撃(SSH User Login Bruteforced)。この QID は Unix ベースのホストに対する ssh による 総当たり攻撃が成功した場合に返されます。成功したログイン/パスワードの組み合わせのリストについては、脆弱性の「Result」項を参照してください。
QID 27056 -有効な FTP アカウント発見(Valid FTP Account Has Been Found)。この QID はホストに対する FTP による総当たり攻撃が成功した場合に返されます。成功したログイン/パスワードの組み合わせのリストについては、脆弱性の「Result」項を参照してください。
なお、「匿名」アカウントや「ftp」アカウントを使用して FTP サーバにアクセスできる場合、これ以外の QID が返されます。このようなアカウントと任意のパスワードで FTP サーバにアクセスできる場合は、QID 27000 が返されます。このようなアカウントと空のパスワードで FTP サーバにアクセスできる場合は、QID 27001 が返されます。
スキャン結果では、総当たり攻撃に関してその他の QID が返されることがあります。KnowledgeBase では、「Brute Force Attack」カテゴリを選択して、総当たり攻撃に関連するすべての脆弱性を検索できます。