PCリモート操作ツール「TeamViewer」を利用した不正アクセスが相次ぐ 44
ストーリー by hylom
操作をずっと監視して情報を盗むのだろうか 部門より
操作をずっと監視して情報を盗むのだろうか 部門より
PCを遠隔操作するソフトウェア「TeamViewer」を利用しているユーザーを狙い、外部から不正にPCを操作するケースが多発しているという(GIGAZINE)。
こういったケースの多くは他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされているとのことで、PCを遠隔操作してネットショッピングサイトで不正に商品やギフト券などが購入される例が報告されている(Togetterまとめ、「独房の中」ブログ)。
なお、TeamViewer側は不正対策の1つに「推測されにくい安全なパスワードを設定して頻繁に変更する」ことを挙げているが、「ほかのサービスとは異なるパスワードを設定する」が基本的かつもっとも重要な対策ではないだろうか。
TeamViewerは二段階認証に対応 (スコア:1)
TeamViewerは二段階認証に対応しているので、とりあえず使っている人はそれを設定するのがよいかと。
https://www.teamviewer.com/ja/security/ [teamviewer.com]
やり方は日本語マニュアルがないけれど、公式サイトからログインして、アカウントの設定から簡単に可能になってる。Google認証システムなどが利用できる。
Re: (スコア:0)
なぜ公式がそれを言わないし
Re: (スコア:0)
言ってます
https://www.teamviewer.com/ja/press/teamviewer-brings-about-rule-of-fi... [teamviewer.com]
何故かタレコミには含まれてないけど。
ランダムパスワード (スコア:1)
オプションで固定パスワードでの認証か、
ランダム生成のパスワードにするか設定できるんですけど、
(というかアカウントを取らなければデフォルトはランダムパスワード)
こっちの方が実は安全だったりしますかね?
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
一度最初にxX23yZ...みたいにランダムな文字列でパスワードを作ったとしても、流出してしまったなら如何に最初のパスワードの強度が高くても意味がないですよね。
流出していないなら、パスワード表を参照して攻撃している場合にはけっこう強度は高いことでしょう。
議会事務局長がアダルトサイトを閲覧し、PCを遠隔操作された事件(オフトピ) (スコア:1, 参考になる)
「AV閲覧しPC乗っ取られる 福井、池田町議会事務局」
http://www.chunichi.co.jp/s/article/2016060490221806.html [chunichi.co.jp]
ある意味でこっちの方が恐い事件だった。
「町によると、事務局長は3日にアダルトサイトを複数回閲覧。
画面に「あなたのパソコンはウイルスに感染しています」とのメッセージと、
連絡先として「050」で始まる電話番号が表示された。
事務局長はこの番号に電話し、
片言の日本語を話す男の声による指示通りにパソコンを操作して、遠隔操作ファイルをインストール。
約1時間半にわたって電話がつながった状態で遠隔操作される状況を見ていたという。」
ダメだこいつ。早くなんとかしないと。
頻繁に変更する (スコア:0)
駄目だこいつはやく何とかしないと(AAry
Re:頻繁に変更する (スコア:2)
入力中の操作が丸見えになりがちな環境の場合は、割と有効だったりするのだ...。
Re: (スコア:0)
今回みたいに流出したパスワードが原因で侵入されている場合はパスワード変更は非常に有効ですよ。
流出後1回変更すれば頻繁でなくても十分だけど、
いつ流出したのかわからないなら頻繁にやるのが解になってしまう。
Re: (スコア:0)
ほかのサービスとパスワードを共有してなければ変えなくてもよくないですか?
Re: (スコア:0)
そりゃ「今回みたいに流出したパスワードが原因で侵入されている場合」っていう前提をひっくり返してしまえば何とでも言えるでしょ
Re: (スコア:0)
この状況なら有用なのでは・・・
それにTeamViewer使うようなユーザ層であれば結果も異なる場合が考えられますよ?
理由が嘘くさい (スコア:0)
>他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされている
ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。
TeamViewer側に脆弱性がありそうな気がする。
Re:理由が嘘くさい (スコア:1)
リモートデスクトップは常時狙われ続けてるよ
ログを取ってみるとTCP3389への攻撃は結構多い。だから外のサーバで使うときはポート番号を変えておくのが良し。
ただ、VNCやRDPは、
・まずIPアドレスを引き当てて有効になっているPCを探す
・そこに対してパスワードとIDのリストで総当たりをかける
と言う方法を行う必要があるが、どちらも回数が限られるので、総当たりは無理がある。
一方、TeamViewerが狙われるのは認証に中央サーバがあるからでしょう。中央サーバに対して、分散Botネットから総当たりで認証を試し、使えるIDを割り出すだけで良い。
分散Botネットからクラックを仕掛けているので、TeamViewer側で対策出来る事は限られていると思われる。恐らく二段階認証しろとかパスワード使い回すな、とか言うしかない。
Re:理由が嘘くさい (スコア:1)
TeamViewerはルーターの設定不要で、NAT越えP2P接続してくれるので、本当にID&PASSさえあれば世界中どこからでもアクセスできる。
今回、同時にTeamViewerのサイトもダウンしたのがイメージダウンになったようだ。DNSのDDos攻撃でダメになってたらしいが。
攻撃者が大量に認証試行しまくった可能性もあるのかな。
今回大問題なのは、自分のパソコンにリモートアクセスされるだけでなく、アカウントに登録したリモートマシンにワンクリックで接続できるようになることだ。
仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
Re: (スコア:0)
> 仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
客商売してるのにこんなソフト使ってる時点で、社のセキュリティポリシーを疑う。
Re: (スコア:0)
TeamViewer 自体はビジネス用のエディションもあるし、こんな、って事は無い。
客商売してるのに単純なパスワード使ってるのはもうお手上げ。
Re: (スコア:0)
VNCやRDP用にルーターに穴開ける阿呆がいないからでは?
リモートアシスタンスの招待も時限性だし
# TeamViewerにポート開放がいると思ったのかはたまたその逆か
Re: (スコア:0)
VNCとかはIPアドレスを知らないと接続できないじゃん
Re: (スコア:0)
とっくの昔に狙われたりしてますが…
[脆弱性を突かれて、実家と自宅の250kmを一晩で往復した話 2014/06/18]
http://itpro.nikkeibp.co.jp/article/Watcher/20140617/564502/ [nikkeibp.co.jp]
単に、今回の話は別のアカウント流出から派生して、TeamViewerが注意喚起をしたってだけの話です
大多数の人は、複数のアカウントで同じID/PWを使用しているので、そういうのはやめて二段階認証を使ってね!と
もちろん既に被害が出ているのは事実ですが…
[引用]
>TeamViewerによるとこうした事件が起きた原因は、TeamViewer自身の脆弱性ではなく、2016年5月末に発覚した6億4200万件のアカウント>情報流出が影響しているとのこと。
[アカウント流出のソース]
Cluster of “megabreaches” compromises a whoppi
Re: (スコア:0)
うん、そのVNCの話はVNC自体に脆弱性があって狙われた話だよね。
アカウント/パスワード流出であれば、VNCなりリモート接続なりで繋ぐ時も
アカウント/パスワードでつなぐのだから、
>大多数の人は、複数のアカウントで同じID/PWを
を基準に狙うにしてもVNCやリモート接続の方がインストールされてる台数多い分狙いやすいわけです。
なのにTeamViewerを狙ったってのは他になにか理由があるんじゃないかと。
Re: (スコア:0)
単純に利用者数の差じゃないの。
Re: (スコア:0)
例えばWin標準のリモートデスクトップなら、Winのログインアカウント/パスワード以外にも接続先のIPが必要。
さらに、ポートを開けなきゃいけないので、仮に情報が揃っていても外部の攻撃者が接続出来る可能性は高くない。
一方TeamViewerは、ID/パスワードの2つがあれば、接続先IP指定もポート開放も要らない仕様。
また、この仕様のおかげで素人でも手軽に使える→パスワードを使い回すユーザーも多いのではないか?と考えられる。
攻撃者の立場から見たら、(脆弱性の有無は別としても)仕様の段階で後者の方が狙いやすいのではないかと思います。
Re: (スコア:0)
>TeamViewer側に脆弱性がありそうな気がする。
脆弱性とは言わないけど、TeamViewerでは、「teamviewer.exe -i --Password 」で接続試行を自動化できるので、アタックはしやすいでしょう
(もちろん、これについてはVNCもリモートデスクトップも同様。ただし、VNCとリモートデスクトップはルータのポートを開ける、という追加設定が必要となるのでやってる人が少なく、また、IPを総当たりしなきゃならないので効率が悪いので、アタックの対象となる確率が低い)
Windows側でセッションが切れた際にパスワード認証を求めるようにスクリーンロックの設定をしておけば
TeamViewer側の認証が突破されても、その次のWindows認証はTeamViewerアプリ内の操作で行わなければならず、
これを自動化することはできないので安全ですがね。
Re: (スコア:0)
ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。
TeamViewerはIDとパスワードだけで接続できるが、VNCやRDPはIPアドレスが分からないと接続できず、更にポート開放も必要なので攻撃可能なホストが少ない。
VNCやRDPが狙われていないのではなく、攻撃可能ホストが少ない上にIPアドレスの特定が難しいため顕在化していないだけ。
TeamViewerの問題点 (スコア:0)
・ID/パスワードが数字、パスワードに至っては4桁
・Windows版では自動的にポート開放(固定ポート)が行われる
他になんかあったっけ?
Re: (スコア:0)
パスワードはデフォルト設定の場合ランダム六桁(起動する度に変わる)です、ユーザーidに関してはその通り
Re: (スコア:0)
ユーザーIDの数字って自動生成だったと思うけど、他のサービスから流出したIDと被るなんてあり得るの?
Re: (スコア:0)
自分も公式発表の内容がおかしいと感じました
TeamViewerのユーザーIDは初回使用時に自動発行される独自の数字を使っているはずなのに
外部サイトから流出したリストで不正ログインされちゃうのかと??
ユーザーがTeamViewerのIDごと使いまわしていた可能性も考えられますが、あまり現実的とは思えず
Re: (スコア:0)
数字のIDは各PCに割り当てられるものであって、TeamViewerアカウントへのログインは別のIDとパスワードですよ。
(PCのIDはTeamViewerアカウントに紐付けることができる)
おそらく乗っ取られた人は流出したIDとパスワードをTeamViewerアカウントに使っていたんじゃないのかな。
Re: (スコア:0)
リモート接続に使うID(マシンごとに異なる、初回に自動生成)とパスワード(ランダム生成or自分で決める)とは別に、
サイトから登録できる「TeamViewerアカウント」(メールアドレスとパスワードでログイン)がある。
・PCでTeamViewerのプログラムを起動し、そこでアカウント情報を入力してログインすることができる。
・この状態で「アカウントの割り当て」という操作をすると、アカウントとそのPCのIDを紐付けることができる。
・さらに「簡易アクセス」という設定をすると、「アカウントにログインしている状態なら、パスワードなしでこのPCにリモート接続できる」状態になる。
ここまで設定してあるPCが常時接続を待機していた場合、メールアドレスとパスワードの組み合わせが漏洩することで不正にリモート接続が可能。
Re:被害者がバカすぎてぐうの音も出ない (スコア:1)
そういうバカがたくさんいれば、犯罪者はそういうのから狙うから
ここに来るような人たちは相対的に安全になる。
馬鹿に感謝。
Re:被害者がバカすぎてぐうの音も出ない (スコア:3, すばらしい洞察)
アパートの一階に飲食店が入っていて、その店が雑な為でGが集まっても他の階からGが消える訳ではない。他の階でうろつくGも増えるんだよ。
百万通のspamに一人しか引っ掛らなくても、そういう鴨が居るから物凄い数のspamが送信され続けているんだよ。
大抵の馬鹿というのは普通の人の足も優秀な人の足も引っ張るものだし、こういう犯罪者は普通の人にとっても優秀な人にとっても危険な存在だよ。
自分を騙して安心したいのかも知れないが、まちがった発想だね。
Re:被害者がバカすぎてぐうの音も出ない (スコア:1)
なぜSSHの話をするのかさっぱりわからんのですが、誰かわかる人教えてください。
Re: (スコア:0)
・有名
・現在も更新が続けられている
・リモートから操作できる
・駄目なレベルからある程度安全なレベルまで設定一つで変更できる
たぶんこのあたり。
Re: (スコア:0)
・SSHならこういう常識がある(できてない奴もいるけど)
・でもそういう当たり前な対処がそもそもできないTeamViewerはクズ
ということなんでは。
Re: (スコア:0)
でもタイトルでは被害者がバカとか言ってますよ? うーむわからん。
Re: (スコア:0)
Win32-OpenSSH使えといいたいのかもしれない。
# それがTeamViewerの代替になるかというと……
Re: (スコア:0)
世間のレベルはこんなもんでしょ。Windows 10の自動アップグレードのせいで仕事が止まったという報告が何度上がったことか。
もう締め切り間際に突然起きることのパターンに加わりそうな勢い(ただし7月末までの期間限定)。
Re: (スコア:0)
>勝手に更新した上で金払え、払わないとログインさせないって嫌がらせの方に進むんじゃない?
本気で言ってる?
Re: (スコア:0)
Chrome Remote DesktopはそのルートキットのようなTeamViewerとは違いますか?
Re: (スコア:0)
UXを大きく変えないようにするとすると、
パスワードは一時的なものにして鍵交換したらパスワード認証を無効にするとかがいいのかなあ。