アカウント名:
パスワード:
>他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされている
ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。
TeamViewer側に脆弱性がありそうな気がする。
リモートデスクトップは常時狙われ続けてるよログを取ってみるとTCP3389への攻撃は結構多い。だから外のサーバで使うときはポート番号を変えておくのが良し。
ただ、VNCやRDPは、・まずIPアドレスを引き当てて有効になっているPCを探す・そこに対してパスワードとIDのリストで総当たりをかけると言う方法を行う必要があるが、どちらも回数が限られるので、総当たりは無理がある。
一方、TeamViewerが狙われるのは認証に中央サーバがあるからでしょう。中央サーバに対して、分散Botネットから総当たりで認証を試し、使えるIDを割り出すだけで良い。分散Botネットからクラックを仕掛けているので、TeamViewer側で対策出来る事は限られていると思われる。恐らく二段階認証しろとかパスワード使い回すな、とか言うしかない。
TeamViewerはルーターの設定不要で、NAT越えP2P接続してくれるので、本当にID&PASSさえあれば世界中どこからでもアクセスできる。
今回、同時にTeamViewerのサイトもダウンしたのがイメージダウンになったようだ。DNSのDDos攻撃でダメになってたらしいが。攻撃者が大量に認証試行しまくった可能性もあるのかな。
今回大問題なのは、自分のパソコンにリモートアクセスされるだけでなく、アカウントに登録したリモートマシンにワンクリックで接続できるようになることだ。仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
> 仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
客商売してるのにこんなソフト使ってる時点で、社のセキュリティポリシーを疑う。
TeamViewer 自体はビジネス用のエディションもあるし、こんな、って事は無い。客商売してるのに単純なパスワード使ってるのはもうお手上げ。
VNCやRDP用にルーターに穴開ける阿呆がいないからでは?リモートアシスタンスの招待も時限性だし
# TeamViewerにポート開放がいると思ったのかはたまたその逆か
VNCとかはIPアドレスを知らないと接続できないじゃん
とっくの昔に狙われたりしてますが…[脆弱性を突かれて、実家と自宅の250kmを一晩で往復した話 2014/06/18] http://itpro.nikkeibp.co.jp/article/Watcher/20140617/564502/ [nikkeibp.co.jp]
単に、今回の話は別のアカウント流出から派生して、TeamViewerが注意喚起をしたってだけの話です大多数の人は、複数のアカウントで同じID/PWを使用しているので、そういうのはやめて二段階認証を使ってね!ともちろん既に被害が出ているのは事実ですが…
[引用]>TeamViewerによるとこうした事件が起きた原因は、TeamViewer自身の脆弱性ではなく、2016年5月末に発覚した6億4200万件のアカウント>情報流出が影響しているとのこと。
[アカウント流出のソース]Cluster of “megabreaches” compromises a whoppi
うん、そのVNCの話はVNC自体に脆弱性があって狙われた話だよね。
アカウント/パスワード流出であれば、VNCなりリモート接続なりで繋ぐ時もアカウント/パスワードでつなぐのだから、>大多数の人は、複数のアカウントで同じID/PWをを基準に狙うにしてもVNCやリモート接続の方がインストールされてる台数多い分狙いやすいわけです。
なのにTeamViewerを狙ったってのは他になにか理由があるんじゃないかと。
単純に利用者数の差じゃないの。
例えばWin標準のリモートデスクトップなら、Winのログインアカウント/パスワード以外にも接続先のIPが必要。さらに、ポートを開けなきゃいけないので、仮に情報が揃っていても外部の攻撃者が接続出来る可能性は高くない。
一方TeamViewerは、ID/パスワードの2つがあれば、接続先IP指定もポート開放も要らない仕様。また、この仕様のおかげで素人でも手軽に使える→パスワードを使い回すユーザーも多いのではないか?と考えられる。
攻撃者の立場から見たら、(脆弱性の有無は別としても)仕様の段階で後者の方が狙いやすいのではないかと思います。
>TeamViewer側に脆弱性がありそうな気がする。
脆弱性とは言わないけど、TeamViewerでは、「teamviewer.exe -i --Password 」で接続試行を自動化できるので、アタックはしやすいでしょう(もちろん、これについてはVNCもリモートデスクトップも同様。ただし、VNCとリモートデスクトップはルータのポートを開ける、という追加設定が必要となるのでやってる人が少なく、また、IPを総当たりしなきゃならないので効率が悪いので、アタックの対象となる確率が低い)
Windows側でセッションが切れた際にパスワード認証を求めるようにスクリーンロックの設定をしておけばTeamViewer側の認証が突破されても、その次のWindows認証はTeamViewerアプリ内の操作で行わなければならず、これを自動化することはできないので安全ですがね。
TeamViewerはIDとパスワードだけで接続できるが、VNCやRDPはIPアドレスが分からないと接続できず、更にポート開放も必要なので攻撃可能なホストが少ない。VNCやRDPが狙われていないのではなく、攻撃可能ホストが少ない上にIPアドレスの特定が難しいため顕在化していないだけ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
理由が嘘くさい (スコア:0)
>他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされている
ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。
TeamViewer側に脆弱性がありそうな気がする。
Re:理由が嘘くさい (スコア:1)
リモートデスクトップは常時狙われ続けてるよ
ログを取ってみるとTCP3389への攻撃は結構多い。だから外のサーバで使うときはポート番号を変えておくのが良し。
ただ、VNCやRDPは、
・まずIPアドレスを引き当てて有効になっているPCを探す
・そこに対してパスワードとIDのリストで総当たりをかける
と言う方法を行う必要があるが、どちらも回数が限られるので、総当たりは無理がある。
一方、TeamViewerが狙われるのは認証に中央サーバがあるからでしょう。中央サーバに対して、分散Botネットから総当たりで認証を試し、使えるIDを割り出すだけで良い。
分散Botネットからクラックを仕掛けているので、TeamViewer側で対策出来る事は限られていると思われる。恐らく二段階認証しろとかパスワード使い回すな、とか言うしかない。
Re:理由が嘘くさい (スコア:1)
TeamViewerはルーターの設定不要で、NAT越えP2P接続してくれるので、本当にID&PASSさえあれば世界中どこからでもアクセスできる。
今回、同時にTeamViewerのサイトもダウンしたのがイメージダウンになったようだ。DNSのDDos攻撃でダメになってたらしいが。
攻撃者が大量に認証試行しまくった可能性もあるのかな。
今回大問題なのは、自分のパソコンにリモートアクセスされるだけでなく、アカウントに登録したリモートマシンにワンクリックで接続できるようになることだ。
仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
Re: (スコア:0)
> 仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。
客商売してるのにこんなソフト使ってる時点で、社のセキュリティポリシーを疑う。
Re: (スコア:0)
TeamViewer 自体はビジネス用のエディションもあるし、こんな、って事は無い。
客商売してるのに単純なパスワード使ってるのはもうお手上げ。
Re: (スコア:0)
VNCやRDP用にルーターに穴開ける阿呆がいないからでは?
リモートアシスタンスの招待も時限性だし
# TeamViewerにポート開放がいると思ったのかはたまたその逆か
Re: (スコア:0)
VNCとかはIPアドレスを知らないと接続できないじゃん
Re: (スコア:0)
とっくの昔に狙われたりしてますが…
[脆弱性を突かれて、実家と自宅の250kmを一晩で往復した話 2014/06/18]
http://itpro.nikkeibp.co.jp/article/Watcher/20140617/564502/ [nikkeibp.co.jp]
単に、今回の話は別のアカウント流出から派生して、TeamViewerが注意喚起をしたってだけの話です
大多数の人は、複数のアカウントで同じID/PWを使用しているので、そういうのはやめて二段階認証を使ってね!と
もちろん既に被害が出ているのは事実ですが…
[引用]
>TeamViewerによるとこうした事件が起きた原因は、TeamViewer自身の脆弱性ではなく、2016年5月末に発覚した6億4200万件のアカウント>情報流出が影響しているとのこと。
[アカウント流出のソース]
Cluster of “megabreaches” compromises a whoppi
Re: (スコア:0)
うん、そのVNCの話はVNC自体に脆弱性があって狙われた話だよね。
アカウント/パスワード流出であれば、VNCなりリモート接続なりで繋ぐ時も
アカウント/パスワードでつなぐのだから、
>大多数の人は、複数のアカウントで同じID/PWを
を基準に狙うにしてもVNCやリモート接続の方がインストールされてる台数多い分狙いやすいわけです。
なのにTeamViewerを狙ったってのは他になにか理由があるんじゃないかと。
Re: (スコア:0)
単純に利用者数の差じゃないの。
Re: (スコア:0)
例えばWin標準のリモートデスクトップなら、Winのログインアカウント/パスワード以外にも接続先のIPが必要。
さらに、ポートを開けなきゃいけないので、仮に情報が揃っていても外部の攻撃者が接続出来る可能性は高くない。
一方TeamViewerは、ID/パスワードの2つがあれば、接続先IP指定もポート開放も要らない仕様。
また、この仕様のおかげで素人でも手軽に使える→パスワードを使い回すユーザーも多いのではないか?と考えられる。
攻撃者の立場から見たら、(脆弱性の有無は別としても)仕様の段階で後者の方が狙いやすいのではないかと思います。
Re: (スコア:0)
>TeamViewer側に脆弱性がありそうな気がする。
脆弱性とは言わないけど、TeamViewerでは、「teamviewer.exe -i --Password 」で接続試行を自動化できるので、アタックはしやすいでしょう
(もちろん、これについてはVNCもリモートデスクトップも同様。ただし、VNCとリモートデスクトップはルータのポートを開ける、という追加設定が必要となるのでやってる人が少なく、また、IPを総当たりしなきゃならないので効率が悪いので、アタックの対象となる確率が低い)
Windows側でセッションが切れた際にパスワード認証を求めるようにスクリーンロックの設定をしておけば
TeamViewer側の認証が突破されても、その次のWindows認証はTeamViewerアプリ内の操作で行わなければならず、
これを自動化することはできないので安全ですがね。
Re: (スコア:0)
ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。
TeamViewerはIDとパスワードだけで接続できるが、VNCやRDPはIPアドレスが分からないと接続できず、更にポート開放も必要なので攻撃可能なホストが少ない。
VNCやRDPが狙われていないのではなく、攻撃可能ホストが少ない上にIPアドレスの特定が難しいため顕在化していないだけ。