セキュリティベンダーのチェックポイント・ソフトウェア・テクノロジーズは2007年9月18日、同社のニュースレターにおいて、攻撃者に狙われやすいユーザー名やパスワードなどに関する調査結果を紹介した。それによると、パスワードを破ろうとする手口の4割以上は、ユーザー名と同じ文字列をパスワードとして試すという。

 調査を実施したのは、米国メリーランド大学のMichel Cukier助教授と2人の大学院生。修正プログラムなどを適用していない脆弱(ぜいじゃく)なLinuxコンピューター4台をインターネットに接続し、それらへの攻撃を記録。攻撃の傾向などを定量的に評価した。

 その結果、調査に使用したコンピューターは、1日平均2244回の攻撃を受けたという。その攻撃のほとんどは、「辞書スクリプト(ユーザー名やパスワードに使われがちな文字列を集めた専用の辞書を使って、ログインを自動的に試行するソフトウエア)」を使用した、「レベルの低い洗練されていないハッカーたちによる攻撃」だったという。

 辞書スクリプトで最も試行される回数が多かったユーザー名は「root」。2位の「admin」の12倍以上試行されたという。rootのユーザー権限を奪取すれば、そのコンピューター全体を乗っ取れるためだと考えられる。試行される回数が多かったユーザー名のトップ10は以下の通り。

  1. root
  2. admin
  3. test
  4. guest
  5. info
  6. adm
  7. mysql
  8. user
  9. administrator
  10. oracle

 同社のニュースリリースによれば、これらの文字列をユーザー名として使用することは絶対に避けるべきだとCukier氏は警告しているという。

 攻撃者が試行するパスワードについては、最も一般的なのがユーザー名と同じ文字列、あるいはユーザー名を若干変えた文字列だという。Cukier氏らの調査によれば、攻撃のおよそ43%は、ユーザー名と同じ文字列をパスワードとして試すものだった。

 次に試行回数が多かったのが、ユーザー名の最後に「123」を追加するもの。そのほか、以下の文字列をパスワードとして試す攻撃が多かったいう。

  • 123456
  • password
  • 1234
  • 12345
  • psswd
  • 123
  • test
  • 1

 Cukier氏らは、コンピューターに侵入した後の攻撃者の行動も調査した。それによると、最も一般的な行動手順は以下の通りだったという。

  1. コンピューターの各種設定を確認
  2. パスワードを変更
  3. コンピューターの各種設定を再度確認
  4. 「バックドア」や「ボット」などをダウンロードして実行