パスワードを忘れた? アカウント作成
15218954 story
マイクロソフト

ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 37

ストーリー by nagazou
訴訟コースだ 部門より
SolarWinds製の更新プログラムを悪用する形で、現在も米政府やMicrosoft、シスコシステムズなどに影響を与えている大規模攻撃。この攻撃をめぐって米国では2月26日に公聴会が開かれた。公聴会にはSolarWindsの現CEOであるSudhakar Ramakrishna氏、前CEOのKevin B. Thompson氏、Microsoft プレジデントのBrad Smith氏、FireEye CEOのKevin Mandia氏が参加した(下院監視・改革委員会CNETMUOGIGAZINEZENet)。

Rashida Tlaib議員はSolarWindsの幹部に対して、SolarWindsのサーバーの一部が「solarwinds123」などのパスワードで保護されていたと報じられていた件について問いただした。これに対して前CEOのThompson氏は、インターンがパスワードを設定していた部分が、外部のセキュリティ研究者に発見されたとして事実であったことを認めた。このセキュリティ研究者は、2019年にSolarWindsに対して事前に警告を行っていたが、それでもSolarWinds側は問題のパスワードを更新していなかったと報じられている。

先の公聴会ではThompson氏はインターンの責任であるかのように発言したが、インターンにこうした重要なサーバーのパスワード設定を任せた点は額面通りには信じられないとMUOの記事では指摘している。このパスワードは2017年に設定されていたという。会社が3年以上前に設定されたパスワードをまったく精査していなかったことも問題視している。
  • by Anonymous Coward on 2021年03月02日 18時09分 (#3987150)

    よかったのに。

    ここに返信
  • by Anonymous Coward on 2021年03月02日 18時12分 (#3987154)

    秘書がやりました

    ここに返信
    • by Anonymous Coward

      SolarWindsは「額面通りには信じられない」と感想で述べられつつも、業界的にありそうと思える。
      それでも、もちろん責任は会社が負う。(当たり前)

      類例は本当に「額面通りには信じられない」。
      しかも責任は下々に転嫁される。

  • by Anonymous Coward on 2021年03月02日 18時23分 (#3987166)

    グッドラック🎵

    ここに返信
    • by Anonymous Coward

      J9シリーズねた
      なつかしいw

  • by Anonymous Coward on 2021年03月02日 18時39分 (#3987175)

    そいつ(インターン)が工作員だ!
    複雑なパスワードでもだめじゃん。

    ここに返信
    • by Anonymous Coward

      意外とその発想はなかったw
      # 個人の感想です

  • by Anonymous Coward on 2021年03月02日 18時43分 (#3987177)

    去年12月に記事になってたし、パスワード自体は2019年には指摘されてたじゃないか

    ここに返信
    • by Anonymous Coward

      2/26にあった公聴会の話が「今さら」なの?

      • by Anonymous Coward

        もう3月ですよ

        • by Anonymous Coward

          ここで即時ニュースを期待するなよ

          • by Anonymous Coward

            60分以内に出せとは言わないが、何千分経ってんだよ。動きのろすぎ。

      • by Anonymous Coward

        タイトルと内容が一致してねぇわ

  • by Anonymous Coward on 2021年03月02日 19時43分 (#3987223)

    んなもんインターンに丸投げすること自体間違ってるわ

    ここに返信
  • by Anonymous Coward on 2021年03月02日 19時50分 (#3987227)

    なら大丈夫だった。
    複雑さじゃなくて長さが重要だから。

    ここに返信
    • by Anonymous Coward

      辞書に引っかからない?

  • by Anonymous Coward on 2021年03月02日 22時19分 (#3987322)

    "password"・"solarwinds"・"solarwinds1"・"windssolar"あたりはまず試すけど、"solarwinds123"に辿り着くには少し掛かるなぁ。
    10回でロックとかだと間に合うか若干怪しい。

    辞書攻撃ツールってID側から推論してくれるのかな。
    *123とかも最初の方に載ってるのかな。
    下手なツールだと123回試行が必要そう。
    最初か二番目に試す"solarwinds"よりか"solarwinds123"はだいぶマシなパスワードだと思う。

    ここに返信
    • by nemui4 (20313) on 2021年03月03日 6時54分 (#3987430) 日記

      "定形ワード+数字" のパターンは割とよく見ますね。
      "数字+定形ワード" よりは多そう。
      間に数字や記号を挟むと覚えにくくなるけど強度は上がるのかな。

      • by Anonymous Coward

        "定形ワード+年月日"……定期的にパスワードを変えろって言われていたから、パスワード更新日の年月日にして年月日だけ変えて運用していたシステムを知っている。

      • by Anonymous Coward

        カスペルスキーのパスワードチェックサイト [kaspersky.com]に、"himitsu123"と入力してみた。

        パスワードを変更する時期です!

                問題点:
                        パスワードが、よくみられる文字の並びか既成の単語になっています。
                このパスワードは、漏洩したパスワードのデータベースの中に250 回出てきます。

        ちなみに此奴は、"solarwinds123"が漏洩したことをまだ知らなかったり、"Biden@WhiteHouse"を「ハッキングされにくいパスワードです」と評価するなど、あまり信を置く気になれない印象。

  • by Anonymous Coward on 2021年03月03日 5時31分 (#3987414)

    といい、会社名+123がデフォルトパスワードのシステムがあるんじゃないかと疑うレベル

    ここに返信
    • by nemui4 (20313) on 2021年03月03日 6時58分 (#3987432) 日記

      以前お邪魔した某公務員事務所の共用PCに
      「***のパスワードは***課長の***番号」
      との張り紙されたのを思い出した。

      • by Anonymous Coward

        え、個人番号をそんな用途に使うなんて!(…違うよね?)

      • by Anonymous Coward

        アメリカ事業所の電話番号

      • by Anonymous Coward
        女子社員3人の背中の刺青を正しく組み合わせると浮かび上がる
        みたいなのがいい
        • by Anonymous Coward

          グランドピアノ型の入力デバイスも憧れるな。

  • by Anonymous Coward on 2021年03月03日 9時11分 (#3987479)

    一文字は大文字を入れとくべきだわ(違うそうじゃない

    ここに返信
    • by Anonymous Coward

      自分は|と\かな。
      ドコとは言いませんがバグってますね。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...