ハードコード/埋め込みパスワード

English -> Visit BeyondTrust Original Page

ハードコードされたパスワードとは何ですか?

ハードコードされたパスワードは、埋め込み認証情報とも呼ばれ、ソース コード内のプレーン テキストのパスワードまたはその他のシークレットです。パスワードのハードコーディングとは、プレーン テキスト (暗号化されていない) のパスワードやその他の秘密 (SSH キー、DevOps 秘密など) をソース コードに埋め込むことです。デフォルトのハードコードされたパスワードは、多くの同じデバイス、アプリケーション、システムで使用される可能性があり、大規模なセットアップを簡素化するのに役立ちますが、同時に、かなりのサイバーセキュリティ リスクをもたらします。

埋め込まれたパスワードはどのように使用され、どこに保存されるのでしょうか?

埋め込みパスワードは、次のようなさまざまな方法で使用されます。

  • 新しいシステムの設定
  • APIおよびその他のシステム統合
  • 暗号化キーと復号化キー
  • 特権およびスーパーユーザーアクセス
  • アプリケーション間 (Application-to-Application – a2a) およびアプリケーションとデータベース間の通信

ハードコードされたパスワードは、一般的に次のような場所で見つかります。

  • ローカルにインストールされるソフトウェア アプリケーションとクラウド ベースのソフトウェア アプリケーション
  • コンピュータ、モバイル デバイス、サーバー、プリンターなどの BIOS およびその他のファームウェア。
  • ネットワークスイッチ、ルーター、その他の制御システム
  • モノのインターネット(IoT)デバイスと医療機器
  • DevOpsツール

多くの場合、製造元やソフトウェア会社は、デフォルトのパスワードをハードウェア、ファームウェア、ソフトウェア、スクリプト、アプリケーション、およびシステムにハードコードします。これらの製品は、埋め込まれたデフォルトのパスワードがそのままの状態で出荷され、多くの場合は展開されます。開発者やその他のユーザーは、ワークフローの一部として簡単にアクセスできるように、コードに資格情報を埋め込むこともできます。

資格情報のハードコーディングを支持する人々は、これによって、知識のないユーザーがコードや製品を改ざんできないようにするための追加の保証レイヤーが提供されると主張するかもしれません。しかし、資格情報のハードコーディングは、マルウェアやハッカーによって悪用され続ける大きなセキュリティリスクをもたらすため、ますます推奨されなくなっています。

ハードコードされたパスワードが危険な理由は何ですか?

ハードコードされたパスワードは、パスワード推測エクスプロイト (BeyondTrust サイト 英語) の容易な標的となり、ハッカーやマルウェアがファームウェア、デバイス(健康監視機器など)、システム、ソフトウェアを乗っ取ることができるため、特に危険です。ハードコードされた同じパスワード、または限られた数のパスワードが、メーカー/ソフトウェア開発会社が特定のシリーズ、リリース、またはモデル内で製造したすべてのアプリケーション(多くは機能するために昇格された権限が必要)またはデバイスで使用されていることがよくあります。そのため、ハッカーがデフォルトのパスワードを知ると、同様のデバイスやアプリケーション インスタンスすべてにアクセスできる可能性があります。この種のエクスプロイトは大規模なサイバー攻撃(そのうちの 2 つを以下に詳しく説明します)を引き起こし、大規模なセキュリティ侵害、世界規模の停止、さらには重要なインフラストラクチャの危険にさえさらされています。

さらに、開発者やその他のユーザーは、コードにパスワードを埋め込んでからそれを忘れたり、適切な知識やスキャンツールを持つ人なら誰でも簡単に発見できるプレーンテキストのパスワードで誤ってコードを公開したり(GitHub などに)することがよくあります。

ハードコーディングは、特定のデバイス、ファームウェア、アプリケーションなど自体、接続された IT エコシステムの他の部分、さらにはハードコーディングされたパスワードの悪用によって奴隷化されたデバイスのボットネットからの DDOS 攻撃を受ける可能性のある無実の第三者にまでリスクをもたらします。

埋め込みパスワードの管理と保護における課題は何ですか?

  • 業務継続性に対するリスク
    多くの場合、ハードコードされたパスワードは、古いパスワードがもたらすリスクにもかかわらず、決して変更されないことを意図して作成されます。そのため、管理者は、システムに何らかの障害を引き起こし、会社の業務に支障をきたす恐れがあるため、特定の種類の埋め込みパスワードを変更することに慎重になる可能性があります。
  • 可視性と認識の欠如
    そもそも、組織の埋め込みパスワードがどこにあるのかを把握するのは、非常に難しい課題です。ハードコードされたパスワードが存在する可能性のあるすべてのデバイスとアプリケーションを監査/検出する必要があります。埋め込みパスワードに関するベンダーのドキュメントを確認すると、どこを調べればよいかがわかります。
  • 適切なツールの欠如
    残念ながら、アプリケーションやスクリプト内に保存されているパスワードを手動で検出したり集中管理したりする実用的な方法はありません。埋め込まれたパスワードを保護するには、パスワードをコードから分離する必要があります。そうすることで、使用されていないときに、パスワードがプレーンテキストで常に公開されるのではなく、集中化されたパスワードセーフに安全に保存されます。

一部のサイバーセキュリティ ベンダーは、ハードコードされたパスワードやデフォルトのパスワードを継続的に検出し、パスワードのローテーションやその他のベスト プラクティスの実施を含めて管理できるエンタープライズ パスワード管理ソリューションを提供しています。

埋め込みパスワードが関係する注目度の高い攻撃の例

  • Mirai 攻撃 (BeyondTrustサイト 英語): 2016 年後半に注目を集めた Mirai マルウェア (実際には数年前から活動していた可能性があります) は、Busybox を搭載した Linux ベースの IoT ボックス (DVR や WebIP カメラなど) と無人の Linux サーバー上の Telnet サービスをスキャンします。次に、ブルート フォース攻撃によって、既知のハードコードされたデフォルトのユーザー名とパスワードのテーブル 61 個を適用してログインを試みます。Mirai とその亜種は、所有者のほとんどが知らないうちに、最大約 400,000 台の接続デバイスで構成される IoT デバイスの巨大なボットネットを構築するために使用されました。Mirai 関連のボットネットは、これまでにないほど破壊的な DDOS 攻撃を仕掛け、French Telecom、Krebs on Security、Dyn、Deutsche Telecom、ロシアの銀行、リベリアなどが被害に遭いました (この無料のエンタープライズ IoT スキャナーを使用して、組織の IoT エコシステム内のデフォルトまたはハードコードされた認証情報を特定し、脅威を軽減するための道筋を立ててください)。
  • Uber の侵害 (BeyondTrustサイト 英語): Mirai 攻撃は業務停止を引き起こしたことで最も有名ですが、2014 年の Uber の侵害では、5,700 万人の顧客と約 60 万人のドライバーの情報が漏洩しました。Mira の場合と同様に、ハードコードされた認証情報に問題がありました。Uber の従業員がソースコード内にプレーンテキストの認証情報を公開し、それを開発者が使用する人気のリポジトリである Github に投稿しました。有能なハッカーは、GitHub で埋め込まれた認証情報を見つけ、それを使用して Uber の Amazon AWS インスタンスへの特権アクセスを取得しました。2022 年、Uber は再び埋め込まれた認証情報に関連する侵害に見舞われました。Uber アカウントへのアクセスをすでに取得していた脅威アクターは、Uber のイントラネットをスキャンし、強力な特権アカウントのハードコードされた認証情報を含む PowerShell スクリプトを発見したと報告されています。これにより、脅威アクターはラテラル・ムーブメント (BeyondTrustサイト 英語) を実現し、攻撃を迅速にエスカレートすることができました。

埋め込みパスワード管理のベストプラクティス

埋め込まれたパスワードにさらされるリスクを減らしたい場合は、次のいくつかの手順を実行できます。

  • アプリケーションパスワードをきちんと管理すること。企業全体のデフォルトおよびハードコードされた資格情報を明らかにし、アプリケーション、スクリプトなどを一元的に管理しているPassword Safeからパスワードの使用を呼び出す (または要求する) ように特権パスワード管理またはアプリケーション パスワード管理ソリューションを導入します。資格情報が管理下に置かれると、ツールはパスワードのローテーション、パスワードの長さ、一意性などのパスワード セキュリティのベスト プラクティスを適用して、サイバー リスクを大幅に削減できます。
  • ハードコードされた認証情報を含むベンダー製品を利用しないこと。ベンダーにハードコードされたパスワードの使用をやめるよう圧力をかけることが、IT エコシステム全体に対するこの危険な脅威を排除するための最善の長期的な解決策です。
  • 脆弱性管理。ソフトウェアおよび製品ベンダーは、ハードコードされたパスワードなどの欠陥に対処するためのパッチを定期的にリリースします。徹底した脆弱性スキャン (BeyondTrustサイト 英語) とパッチ管理プロセスを導入していれば、これらの問題が判明し、パッチが利用可能になった時点ですぐに対処できます。

BeyondTrust Password Safe を使用すると、ハードコードされたパスワードを見つけ、適切に対応できるようになります。