ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 37
ストーリー by nagazou
訴訟コースだ 部門より
訴訟コースだ 部門より
SolarWinds製の更新プログラムを悪用する形で、現在も米政府やMicrosoft、シスコシステムズなどに影響を与えている大規模攻撃。この攻撃をめぐって米国では2月26日に公聴会が開かれた。公聴会にはSolarWindsの現CEOであるSudhakar Ramakrishna氏、前CEOのKevin B. Thompson氏、Microsoft プレジデントのBrad Smith氏、FireEye CEOのKevin Mandia氏が参加した(下院監視・改革委員会、CNET、MUO、GIGAZINE、ZENet)。
Rashida Tlaib議員はSolarWindsの幹部に対して、SolarWindsのサーバーの一部が「solarwinds123」などのパスワードで保護されていたと報じられていた件について問いただした。これに対して前CEOのThompson氏は、インターンがパスワードを設定していた部分が、外部のセキュリティ研究者に発見されたとして事実であったことを認めた。このセキュリティ研究者は、2019年にSolarWindsに対して事前に警告を行っていたが、それでもSolarWinds側は問題のパスワードを更新していなかったと報じられている。
先の公聴会ではThompson氏はインターンの責任であるかのように発言したが、インターンにこうした重要なサーバーのパスワード設定を任せた点は額面通りには信じられないとMUOの記事では指摘している。このパスワードは2017年に設定されていたという。会社が3年以上前に設定されたパスワードをまったく精査していなかったことも問題視している。
Rashida Tlaib議員はSolarWindsの幹部に対して、SolarWindsのサーバーの一部が「solarwinds123」などのパスワードで保護されていたと報じられていた件について問いただした。これに対して前CEOのThompson氏は、インターンがパスワードを設定していた部分が、外部のセキュリティ研究者に発見されたとして事実であったことを認めた。このセキュリティ研究者は、2019年にSolarWindsに対して事前に警告を行っていたが、それでもSolarWinds側は問題のパスワードを更新していなかったと報じられている。
先の公聴会ではThompson氏はインターンの責任であるかのように発言したが、インターンにこうした重要なサーバーのパスワード設定を任せた点は額面通りには信じられないとMUOの記事では指摘している。このパスワードは2017年に設定されていたという。会社が3年以上前に設定されたパスワードをまったく精査していなかったことも問題視している。
solarwinds0000にしておけば (スコア:0)
よかったのに。
Re:solarwinds0000にしておけば (スコア:1)
solarwinds9999のほうが安全
Re: (スコア:0)
自称アンドロイドじゃあるまいし、ゾロ目は試されそう。
パスワードは定期的に更新したほうが良いし、
solarwinds2103とかどうだろう?
Re:solarwinds0000にしておけば (スコア:1)
> パスワードは定期的に更新したほうが良いし、
一応貼っときます。
https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]
Re: (スコア:0)
2103だと3月21日生まれの人がよく使う数字ってことで辞書アタックされるんじゃないかな。
やはりここは、s01arwindsで!
#違うそうじゃない
Re: (スコア:0)
aを@にすると更に強力に!
# よい子は真似しちゃダメだよ
Re: (スコア:0)
せめて lotus1-2-3 にして欲しかった
Re: (スコア:0)
solarwincls123にしか見えん
類例 (スコア:0)
秘書がやりました
Re: (スコア:0)
SolarWindsは「額面通りには信じられない」と感想で述べられつつも、業界的にありそうと思える。
それでも、もちろん責任は会社が負う。(当たり前)
類例は本当に「額面通りには信じられない」。
しかも責任は下々に転嫁される。
心の帆に受けて (スコア:0)
グッドラック🎵
Re: (スコア:0)
J9シリーズねた
なつかしいw
ばっかもーん (スコア:0)
そいつ(インターン)が工作員だ!
複雑なパスワードでもだめじゃん。
Re: (スコア:0)
意外とその発想はなかったw
# 個人の感想です
今さらこの記事? (スコア:0)
去年12月に記事になってたし、パスワード自体は2019年には指摘されてたじゃないか
Re: (スコア:0)
2/26にあった公聴会の話が「今さら」なの?
Re: (スコア:0)
もう3月ですよ
Re: (スコア:0)
ここで即時ニュースを期待するなよ
Re: (スコア:0)
60分以内に出せとは言わないが、何千分経ってんだよ。動きのろすぎ。
Re: (スコア:0)
タイトルと内容が一致してねぇわ
何言ってるんだコイツは感 (スコア:0)
んなもんインターンに丸投げすること自体間違ってるわ
solarwinds123456789 (スコア:0)
なら大丈夫だった。
複雑さじゃなくて長さが重要だから。
Re: (スコア:0)
辞書に引っかからない?
123 (スコア:0)
"password"・"solarwinds"・"solarwinds1"・"windssolar"あたりはまず試すけど、"solarwinds123"に辿り着くには少し掛かるなぁ。
10回でロックとかだと間に合うか若干怪しい。
辞書攻撃ツールってID側から推論してくれるのかな。
*123とかも最初の方に載ってるのかな。
下手なツールだと123回試行が必要そう。
最初か二番目に試す"solarwinds"よりか"solarwinds123"はだいぶマシなパスワードだと思う。
Re:123 (スコア:1)
"定形ワード+数字" のパターンは割とよく見ますね。
"数字+定形ワード" よりは多そう。
間に数字や記号を挟むと覚えにくくなるけど強度は上がるのかな。
Re: (スコア:0)
"定形ワード+年月日"……定期的にパスワードを変えろって言われていたから、パスワード更新日の年月日にして年月日だけ変えて運用していたシステムを知っている。
Re:123 (スコア:1)
30日毎にパスワード更新要求するところで似たようなことしてました。
例えば03/31 に slad0430 と変更して、次回変更予定日を入れてました。
Re: (スコア:0)
カスペルスキーのパスワードチェックサイト [kaspersky.com]に、"himitsu123"と入力してみた。
パスワードを変更する時期です!
問題点:
パスワードが、よくみられる文字の並びか既成の単語になっています。
このパスワードは、漏洩したパスワードのデータベースの中に250 回出てきます。
ちなみに此奴は、"solarwinds123"が漏洩したことをまだ知らなかったり、"Biden@WhiteHouse"を「ハッキングされにくいパスワードです」と評価するなど、あまり信を置く気になれない印象。
Re:123 (スコア:1)
"Biden@WhiteHouse"
人気無いんやろか。
Intel123 (スコア:0)
といい、会社名+123がデフォルトパスワードのシステムがあるんじゃないかと疑うレベル
Re:Intel123 (スコア:1)
以前お邪魔した某公務員事務所の共用PCに
「***のパスワードは***課長の***番号」
との張り紙されたのを思い出した。
Re: (スコア:0)
え、個人番号をそんな用途に使うなんて!(…違うよね?)
Re: (スコア:0)
アメリカ事業所の電話番号
Re: (スコア:0)
みたいなのがいい
Re: (スコア:0)
グランドピアノ型の入力デバイスも憧れるな。
やっぱり (スコア:0)
一文字は大文字を入れとくべきだわ(違うそうじゃない
Re: (スコア:0)
自分は|と\かな。
ドコとは言いませんがバグってますね。