セキュリティベンダーのチェックポイント・ソフトウェア・テクノロジーズは2007年9月18日、同社のニュースレターにおいて、攻撃者に狙われやすいユーザー名やパスワードなどに関する調査結果を紹介した。それによると、パスワードを破ろうとする手口の4割以上は、ユーザー名と同じ文字列をパスワードとして試すという。
調査を実施したのは、米国メリーランド大学のMichel Cukier助教授と2人の大学院生。修正プログラムなどを適用していない脆弱(ぜいじゃく)なLinuxコンピューター4台をインターネットに接続し、それらへの攻撃を記録。攻撃の傾向などを定量的に評価した。
その結果、調査に使用したコンピューターは、1日平均2244回の攻撃を受けたという。その攻撃のほとんどは、「辞書スクリプト(ユーザー名やパスワードに使われがちな文字列を集めた専用の辞書を使って、ログインを自動的に試行するソフトウエア)」を使用した、「レベルの低い洗練されていないハッカーたちによる攻撃」だったという。
辞書スクリプトで最も試行される回数が多かったユーザー名は「root」。2位の「admin」の12倍以上試行されたという。rootのユーザー権限を奪取すれば、そのコンピューター全体を乗っ取れるためだと考えられる。試行される回数が多かったユーザー名のトップ10は以下の通り。
- root
- admin
- test
- guest
- info
- adm
- mysql
- user
- administrator
- oracle
同社のニュースリリースによれば、これらの文字列をユーザー名として使用することは絶対に避けるべきだとCukier氏は警告しているという。
攻撃者が試行するパスワードについては、最も一般的なのがユーザー名と同じ文字列、あるいはユーザー名を若干変えた文字列だという。Cukier氏らの調査によれば、攻撃のおよそ43%は、ユーザー名と同じ文字列をパスワードとして試すものだった。
次に試行回数が多かったのが、ユーザー名の最後に「123」を追加するもの。そのほか、以下の文字列をパスワードとして試す攻撃が多かったいう。
- 123456
- password
- 1234
- 12345
- psswd
- 123
- test
- 1
Cukier氏らは、コンピューターに侵入した後の攻撃者の行動も調査した。それによると、最も一般的な行動手順は以下の通りだったという。
- コンピューターの各種設定を確認
- パスワードを変更
- コンピューターの各種設定を再度確認
- 「バックドア」や「ボット」などをダウンロードして実行