パスワードを忘れた? アカウント作成
12803828 story
犯罪

PCリモート操作ツール「TeamViewer」を利用した不正アクセスが相次ぐ 44

ストーリー by hylom
操作をずっと監視して情報を盗むのだろうか 部門より

PCを遠隔操作するソフトウェア「TeamViewer」を利用しているユーザーを狙い、外部から不正にPCを操作するケースが多発しているという(GIGAZINE)。

こういったケースの多くは他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされているとのことで、PCを遠隔操作してネットショッピングサイトで不正に商品やギフト券などが購入される例が報告されている(Togetterまとめ「独房の中」ブログ)。

なお、TeamViewer側は不正対策の1つに「推測されにくい安全なパスワードを設定して頻繁に変更する」ことを挙げているが、「ほかのサービスとは異なるパスワードを設定する」が基本的かつもっとも重要な対策ではないだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年06月07日 8時46分 (#3025313)

    TeamViewerは二段階認証に対応しているので、とりあえず使っている人はそれを設定するのがよいかと。

    https://www.teamviewer.com/ja/security/ [teamviewer.com]

    やり方は日本語マニュアルがないけれど、公式サイトからログインして、アカウントの設定から簡単に可能になってる。Google認証システムなどが利用できる。

  • オプションで固定パスワードでの認証か、
    ランダム生成のパスワードにするか設定できるんですけど、
    (というかアカウントを取らなければデフォルトはランダムパスワード)
    こっちの方が実は安全だったりしますかね?

    --
    一人以外は全員敗者
    それでもあきらめるより熱くなれ
    • by Anonymous Coward

      一度最初にxX23yZ...みたいにランダムな文字列でパスワードを作ったとしても、流出してしまったなら如何に最初のパスワードの強度が高くても意味がないですよね。
      流出していないなら、パスワード表を参照して攻撃している場合にはけっこう強度は高いことでしょう。

  • 「AV閲覧しPC乗っ取られる 福井、池田町議会事務局」
    http://www.chunichi.co.jp/s/article/2016060490221806.html [chunichi.co.jp]
    ある意味でこっちの方が恐い事件だった。

    「町によると、事務局長は3日にアダルトサイトを複数回閲覧。
    画面に「あなたのパソコンはウイルスに感染しています」とのメッセージと、
    連絡先として「050」で始まる電話番号が表示された。

     事務局長はこの番号に電話し、
    片言の日本語を話す男の声による指示通りにパソコンを操作して、遠隔操作ファイルをインストール。
    約1時間半にわたって電話がつながった状態で遠隔操作される状況を見ていたという。

    ダメだこいつ。早くなんとかしないと。

  • by Anonymous Coward on 2016年06月07日 7時16分 (#3025277)

    駄目だこいつはやく何とかしないと(AAry

    • by miyuri (33181) on 2016年06月07日 7時22分 (#3025279) 日記

      入力中の操作が丸見えになりがちな環境の場合は、割と有効だったりするのだ...。

      親コメント
    • by Anonymous Coward

      今回みたいに流出したパスワードが原因で侵入されている場合はパスワード変更は非常に有効ですよ。

      流出後1回変更すれば頻繁でなくても十分だけど、
      いつ流出したのかわからないなら頻繁にやるのが解になってしまう。

      • by Anonymous Coward

        ほかのサービスとパスワードを共有してなければ変えなくてもよくないですか?

        • by Anonymous Coward

          そりゃ「今回みたいに流出したパスワードが原因で侵入されている場合」っていう前提をひっくり返してしまえば何とでも言えるでしょ

    • by Anonymous Coward

      この状況なら有用なのでは・・・
      それにTeamViewer使うようなユーザ層であれば結果も異なる場合が考えられますよ?

  • by Anonymous Coward on 2016年06月07日 9時40分 (#3025337)

    >他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされている

    ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
    って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。

    TeamViewer側に脆弱性がありそうな気がする。

    • by Anonymous Coward on 2016年06月07日 14時30分 (#3025536)

      リモートデスクトップは常時狙われ続けてるよ
      ログを取ってみるとTCP3389への攻撃は結構多い。だから外のサーバで使うときはポート番号を変えておくのが良し。

      ただ、VNCやRDPは、
      ・まずIPアドレスを引き当てて有効になっているPCを探す
      ・そこに対してパスワードとIDのリストで総当たりをかける
      と言う方法を行う必要があるが、どちらも回数が限られるので、総当たりは無理がある。

      一方、TeamViewerが狙われるのは認証に中央サーバがあるからでしょう。中央サーバに対して、分散Botネットから総当たりで認証を試し、使えるIDを割り出すだけで良い。
      分散Botネットからクラックを仕掛けているので、TeamViewer側で対策出来る事は限られていると思われる。恐らく二段階認証しろとかパスワード使い回すな、とか言うしかない。

      親コメント
    • by Anonymous Coward on 2016年06月07日 14時37分 (#3025542)

      TeamViewerはルーターの設定不要で、NAT越えP2P接続してくれるので、本当にID&PASSさえあれば世界中どこからでもアクセスできる。

      今回、同時にTeamViewerのサイトもダウンしたのがイメージダウンになったようだ。DNSのDDos攻撃でダメになってたらしいが。
      攻撃者が大量に認証試行しまくった可能性もあるのかな。

      今回大問題なのは、自分のパソコンにリモートアクセスされるだけでなく、アカウントに登録したリモートマシンにワンクリックで接続できるようになることだ。
      仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。

      親コメント
      • by Anonymous Coward

        > 仕事で使ってる人は、お客さんのマシンへのアクセス権まで明け渡すことになる。

        客商売してるのにこんなソフト使ってる時点で、社のセキュリティポリシーを疑う。

        • by Anonymous Coward

          TeamViewer 自体はビジネス用のエディションもあるし、こんな、って事は無い。
          客商売してるのに単純なパスワード使ってるのはもうお手上げ。

    • by Anonymous Coward

      VNCやRDP用にルーターに穴開ける阿呆がいないからでは?
      リモートアシスタンスの招待も時限性だし

      # TeamViewerにポート開放がいると思ったのかはたまたその逆か

    • by Anonymous Coward

      VNCとかはIPアドレスを知らないと接続できないじゃん

    • by Anonymous Coward

      とっくの昔に狙われたりしてますが…
      [脆弱性を突かれて、実家と自宅の250kmを一晩で往復した話 2014/06/18]
      http://itpro.nikkeibp.co.jp/article/Watcher/20140617/564502/ [nikkeibp.co.jp]

      単に、今回の話は別のアカウント流出から派生して、TeamViewerが注意喚起をしたってだけの話です
      大多数の人は、複数のアカウントで同じID/PWを使用しているので、そういうのはやめて二段階認証を使ってね!と
      もちろん既に被害が出ているのは事実ですが…

      [引用]
      >TeamViewerによるとこうした事件が起きた原因は、TeamViewer自身の脆弱性ではなく、2016年5月末に発覚した6億4200万件のアカウント>情報流出が影響しているとのこと。

      [アカウント流出のソース]
      Cluster of “megabreaches” compromises a whoppi

      • by Anonymous Coward

        うん、そのVNCの話はVNC自体に脆弱性があって狙われた話だよね。

        アカウント/パスワード流出であれば、VNCなりリモート接続なりで繋ぐ時も
        アカウント/パスワードでつなぐのだから、
        >大多数の人は、複数のアカウントで同じID/PWを
        を基準に狙うにしてもVNCやリモート接続の方がインストールされてる台数多い分狙いやすいわけです。

        なのにTeamViewerを狙ったってのは他になにか理由があるんじゃないかと。

        • by Anonymous Coward

          単純に利用者数の差じゃないの。

        • by Anonymous Coward

          例えばWin標準のリモートデスクトップなら、Winのログインアカウント/パスワード以外にも接続先のIPが必要。
          さらに、ポートを開けなきゃいけないので、仮に情報が揃っていても外部の攻撃者が接続出来る可能性は高くない。

          一方TeamViewerは、ID/パスワードの2つがあれば、接続先IP指定もポート開放も要らない仕様。
          また、この仕様のおかげで素人でも手軽に使える→パスワードを使い回すユーザーも多いのではないか?と考えられる。

          攻撃者の立場から見たら、(脆弱性の有無は別としても)仕様の段階で後者の方が狙いやすいのではないかと思います。

    • by Anonymous Coward

      >TeamViewer側に脆弱性がありそうな気がする。

      脆弱性とは言わないけど、TeamViewerでは、「teamviewer.exe -i --Password 」で接続試行を自動化できるので、アタックはしやすいでしょう
      (もちろん、これについてはVNCもリモートデスクトップも同様。ただし、VNCとリモートデスクトップはルータのポートを開ける、という追加設定が必要となるのでやってる人が少なく、また、IPを総当たりしなきゃならないので効率が悪いので、アタックの対象となる確率が低い)

      Windows側でセッションが切れた際にパスワード認証を求めるようにスクリーンロックの設定をしておけば
      TeamViewer側の認証が突破されても、その次のWindows認証はTeamViewerアプリ内の操作で行わなければならず、
      これを自動化することはできないので安全ですがね。

    • by Anonymous Coward

      ならTeamViewerより先行したVNCやらwin標準のリモート接続が狙われないのはなぜ?
      って思うが。TeamViewer何かよりよっぽど多くのPCにインストールされてる。

      TeamViewerはIDとパスワードだけで接続できるが、VNCやRDPはIPアドレスが分からないと接続できず、更にポート開放も必要なので攻撃可能なホストが少ない。
      VNCやRDPが狙われていないのではなく、攻撃可能ホストが少ない上にIPアドレスの特定が難しいため顕在化していないだけ。

  • by Anonymous Coward on 2016年06月07日 14時00分 (#3025502)

    ・ID/パスワードが数字、パスワードに至っては4桁
    ・Windows版では自動的にポート開放(固定ポート)が行われる

    他になんかあったっけ?

    • by Anonymous Coward

      パスワードはデフォルト設定の場合ランダム六桁(起動する度に変わる)です、ユーザーidに関してはその通り

      • by Anonymous Coward

        ユーザーIDの数字って自動生成だったと思うけど、他のサービスから流出したIDと被るなんてあり得るの?

        • by Anonymous Coward

          自分も公式発表の内容がおかしいと感じました
          TeamViewerのユーザーIDは初回使用時に自動発行される独自の数字を使っているはずなのに
          外部サイトから流出したリストで不正ログインされちゃうのかと??

          ユーザーがTeamViewerのIDごと使いまわしていた可能性も考えられますが、あまり現実的とは思えず

          • by Anonymous Coward

            数字のIDは各PCに割り当てられるものであって、TeamViewerアカウントへのログインは別のIDとパスワードですよ。
            (PCのIDはTeamViewerアカウントに紐付けることができる)
            おそらく乗っ取られた人は流出したIDとパスワードをTeamViewerアカウントに使っていたんじゃないのかな。

        • by Anonymous Coward

          リモート接続に使うID(マシンごとに異なる、初回に自動生成)とパスワード(ランダム生成or自分で決める)とは別に、
          サイトから登録できる「TeamViewerアカウント」(メールアドレスとパスワードでログイン)がある。

          ・PCでTeamViewerのプログラムを起動し、そこでアカウント情報を入力してログインすることができる。
          ・この状態で「アカウントの割り当て」という操作をすると、アカウントとそのPCのIDを紐付けることができる。
          ・さらに「簡易アクセス」という設定をすると、「アカウントにログインしている状態なら、パスワードなしでこのPCにリモート接続できる」状態になる。

          ここまで設定してあるPCが常時接続を待機していた場合、メールアドレスとパスワードの組み合わせが漏洩することで不正にリモート接続が可能。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...