Cisco Japan Blog / 脅威リサーチ / NIST が打ち出したパスワードに関する新ガイドラインの内容と、従来の方式が機能しなかった理由

パスワードを作成する際、「a」の代わりに「@」、あるいは「S」の代わりに「$」を使用する時代にお別れを告げるときがきました。

米国国立標準技術研究所（NIST）が最近発表した新しいガイドラインには、Web サイトや組織がパスワードの生成と管理で考慮すべき事項が記載されています。この新ガイドラインでは、これまで長年にわたって私たちが「常識」としてきた手法が廃止されています。

ここで、提案されたガイドラインの内容をかいつまんでご紹介します。

• パスワードの長さは 8 文字以上にする必要があり、サイトでは 15 文字以上のパスワードを推奨するものとする。
• ログイン情報サービスプロバイダー（CSP）は、最大 64 文字のパスワードを許可するものとする。
• CSP は、パスワードに ASCII 文字および Unicode 文字を含めることを許可するものとする。
• パスワードは定期的に変更するのではなく、漏洩した証拠が確認された場合にのみ変更するようにする。
• パスワードに一定数の数字や特殊文字を含めることは要件としない。（例：Password12345!）
• パスワード選択時の知識ベースの認証やセキュリティに関する質問は廃止する。（例：大学時代のルームメイトの名前は？）

ここで、いくつか明確にしておく必要があります。NIST が提案しているからといって、誰もがこのガイドラインに従わなければならないわけではありません。あくまでもガイドラインにすぎず、採用するかどうかは、米国の一部大手テクノロジー企業が選択できます。当面の間はルールの提案にとどまるため、正式にルール化される前に、一般ユーザーやテクノロジー企業が意見を述べる時間があるということになります。

これらの提案はこれまでの常識を覆す内容ではありますが、ユーザーや管理者にとっては、従来から採用しているテキストベースのログイン情報がより管理しやすいものになるはずです。調査によると、特殊文字と数字をパスワードの要件にしていることが、「$ummer2024!」や「P@ssword」のような推測されやすいパスワードが生成される原因になっているとのことです。

また、パスワードの変更を求めるポリシーは、記憶するのがほぼ不可能に近いパスワードをユーザーが生成する事態を招いてきました。ユーザーは仕方なく、パスワードを紙にメモしてパソコンの近くなど目に入りやすい場所に保管したり、テキストファイル形式でデスクトップに保存したりしています。

NIST の期待は、長いパスワードを要件とすることで攻撃者に推測されにくくなり、ユーザーが比較的パスワードを管理しやすくなる点にあるでしょう。

もちろん、一般的にはサードパーティのパスワードマネージャを使用するのが誰にとっても最も安全な選択肢なのですが、NIST の提案内容が望ましい方向へと進むための一歩であることに変わりはありません。少なくとも、セキュリティ意識が高いユーザーにとっては、新しいアカウントの作成がこれまでより簡単になるはずです。

重要な情報

7 月以降、最大規模となった今月の Microsoft 社のセキュリティ更新プログラムは、同社のハードウェアおよびソフトウェア製品において、実際にエクスプロイトが確認されている脆弱性が 2 件、重大な脆弱性が 3 件含まれています。Microsoft 社の 10 月の月例セキュリティ更新プログラムは、117 件の CVE に対する修正が含まれており、142 件の脆弱性が対象となった 7 月の更新以来、1 か月で最多の件数となっています。Microsoft 社が実際にエクスプロイトが発生したと報告している 2 件の脆弱性のシビラティ（重大度）は、どちらも「警告」と評価されています。

注意すべき理由

CVE-2024-43572 は、Microsoft 管理コンソールのリモートコード実行の脆弱性で、攻撃者が標的のマシン上で任意のコードを実行する可能性があります。Microsoft 社のセキュリティ更新プログラムでは、この脆弱性を悪用しようとする攻撃者からユーザーを保護するために、信頼されていない Microsoft Saved Console（MSC）ファイルが開かれることがないようにします。今週公開されたセキュリティ更新プログラムで実際にエクスプロイトが確認されているもののうち、もう 1 件の脆弱性は CVE-2024-43573 で、Windows MSHTML プラットフォームのスプーフィングの脆弱性です。プラットフォームのスプーフィングの脆弱性は通常、攻撃者が信頼できる送信元を装うことで、環境に不正アクセスできます。

必要な対策

Talos ではこれらの脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、64083 ～ 64086、64089、64090、64111、64112 です。Snort 3 ルール 301034 ～ 301036、301041 もあります。

今週のセキュリティ関連のトップニュース

中国政府が支援する攻撃者が、米国政府の通話を傍受するために米国の複数の電気通信プロバイダーを攻撃した疑いが浮上。AT&T 社、Verizon 社、Lumen 社はいずれも、新たに命名された APT Salt Typhoon によるものとされる対スパイ作戦の犠牲者である可能性があります。攻撃者は、米国政府が裁判所から許可を得たネットワーク傍受の要請で使用されていたシステムの情報にアクセスした可能性があります。すべては政府の機密情報を窃取するためです。Salt Typhoon がアクセスしていた期間はまだ明らかになっていませんが、米国政府による合法の通信データ取得要請に協力するために使用されたこれらのネットワークに、少なくとも数か月間アクセスしていたことは確かです。攻撃者は、この作戦を通じて、他の汎用インターネットトラフィックにも大規模にアクセスした可能性があります。Volt Typhoon として知られる中国の別の APT は、米軍基地やその他の重要なインフラストラクチャのネットワークに潜入を試みたとされ、今年初めに大きな話題となりました。（情報源：Wall Street Journal、Washington Post）

ロシア政府支援の ColdRiver グループに関連する 60 を超えるドメインとその他の攻撃インフラを無効化したと Microsoft 社と米国司法省が発表。ロシア連邦保安庁（FSB）とつながりがあると考えられている ColdRiver は近頃、ウクライナと NATO 諸国の非政府組織、シンクタンク、軍当局者、情報機関当局者を標的にしていました。この無効化の発表において、リサ・モナコ米司法副長官は、「ロシア政府がこの陰謀を企てたのは米国の機密情報を窃取するためであり、一見すると正当なメールアカウントを使用して被害者を騙し、アカウントのログイン情報を提供させた」と語っています。ColdRiver（別名 Callisto Group、Seaborgium、Star Blizzard）は 2017 年には活動を開始しています。米国国務省は現在 1,000 万ドルの懸賞金を用意して、ColdRiver の個々のメンバーの所在や身元の特定につながる情報を求めています。（情報源：Security Magazine、Bleeping Computer）

苦境に立つ遺伝子検査会社 23AndMe が倒産または廃業した場合の顧客の個人情報の取り扱いについて、専門家が懸念を表明。23AndMe 社は、顧客から DNA サンプルを収集し、先祖についてのレポートを提供するサービスで名が知られています。同社の評価額と株価は、ここ数年で数百万ドル下落しています。2006 年の設立以降、1,500 万人もの人が自分の DNA を提供しており、プライバシー保護の専門家は、同社に何か起きる前に今すぐ自分のデータを手動で消去するよう顧客に警告しています。また、同社は複数の民間企業とデータ共有契約を結んでおり、そうした企業の調査や研究にも 23AndMe 社のデータが使用されています。23AndMe 社のサービスは米国ではヘルスケアに分類されないため、医療保険の相互運用性と説明責任に関する法令（HIPAA）に準拠する必要がありません。昨年、同社では大規模なデータ漏洩が発生し、690 万もの顧客アカウントが被害を受け、14,000 人の顧客のパスワードが盗まれたとされています。米国の法執行機関は過去に同社のデータへのアクセスを試み、そのときは要求が拒否されました。同社が存在しなくなった場合、アクセス要求が許可されるかどうかは不透明です。（情報源：NPR、Business Insider）

Talos についての関連情報

• Cisco Talos：世界的サイバー脅威に対抗する高度なインテリジェンス
• 攻撃者が MedusaLocker ランサムウェアの新しい亜種を展開
• 「paid_memes」ツールキットが組み合わさった MedusaLocker ランサムウェアの亜種
• 人気の PDF リーダーに任意のコード実行につながる脆弱性を発見、GNOME プロジェクトにも複数の脆弱性あり

Talos が参加予定のイベント

MITRE ATT&CKcon 5.0（10 月 22 日～ 23 日）

バージニア州マクリーン（オンラインあり）

Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。

it-sa Expo & Congress（10 月 22 日～ 24 日）

ニュルンベルク（ドイツ）

White Hat Desert Con（11 月 14 日）

ドーハ（カタール）

misecCON（11 月 22 日）

ミシガン州ランシング

Talos インシデント対応チームの Terryn Valikodath が DFIR（デジタルフォレンジックとインシデント対応）の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5：71fea034b422e4a17ebb06022532fdde
一般的なファイル名： VID001.exe
偽装名：なし
検出名： RF.Talos.80

SHA 256：76491df69a26019139ac11117cd21bf5d0257a5ebd3d67837f558c8c9c3483d8
MD5： b209df2951e29ab5eab4009579b10b8d
一般的なファイル名： FileZilla_3.67.1_win64_sponsored2-setup.exe
偽装名：FileZilla
検出名： W32.76491DF69A-95.SBX.TG

SHA 256：c20fbc33680d745ec5ff7022c282a6fe969c6e6c7d77b7cfac34e6c19367cf9a
MD5： 3bc6d86fc4b3262137d8d33713ed6082
一般的なファイル名： 8c556f0a.dll
偽装名：なし
検出名： Gen:Variant.Lazy.605353

SHA 256：f0d7a2bb0c5db162332418747ba4987027b8a746b24c919a24235ff3b70d25e3
MD5： 0d849044612667362bc88780baa1c1b7
一般的なファイル名： CryptX.dll
偽装名：なし
検出名： Gen:Variant.Lazy.605353

SHA 256：331fdf5f1f5679a6f6bb0baee8518058aba8081ef8f96e57fa3b74291fcbb814
MD5： f23b90fc9bc301baf3e399e189b6d2dc
一般的なファイル名： B.dll
偽装名：なし
検出名： Gen:Variant.Lazy.605353

本稿は 2024 年 10 月 10 日にTalos Group のブログに投稿された「What NIST’s latest password standards mean, and why the old ones weren’t working」の抄訳です。

 

Authors

TALOS Japan