SSHブルートフォースログイン攻撃を防ぐ基本的な対策

Sucuriはこのほど、「How to Prevent SSH Brute Force Login Attacks」において、SSHブルートフォースログイン攻撃を防ぐための基本的なセキュリティ対策を紹介した。

感染サイトは100万超、WordPressマルウェアキャンペーン「Balada Injector」の防御策は？

SSHブルートフォース攻撃は、UNIXベースのサーバ上で安全なリモート接続のために使用されるSSHサービスを標的にするサイバー攻撃の一つ。攻撃者は自動化されたツールやボットを使用し、一般的なユーザー名とパスワードの組み合わせを継続的に試行してサーバへのアクセスを試みる。SSHログインの試行回数が多すぎる場合、SSHサーバがブルートフォース攻撃の標的になっている可能性は高い。

SSHブルートフォース攻撃を行う攻撃者の動機はさまざまとされ、貴重な財務情報やファイルへの不正アクセス、サービスの妨害、他のシステムへのマルウェア配布、あるいは侵害したシステムをハイジャックすることが主な目的とされている。

攻撃者はハックツールを使用し、ブルートフォース攻撃のプロセスを自動化して迅速に攻撃を仕掛けることがよくある。攻撃を分散させたり、保護された内部アカウントをターゲットにしたりするためにマルウェアやHydra、Chaos、CrackMapExec、PoshC2などのブルートフォース機能を備えたツールが使われるケースが多い。

SSHブルートフォースアタックからサーバを保護するために実装できるセキュリティ対策として、以下を紹介している。

SSH公開鍵認証に切り替える
認証試行回数を制限する
サードパーティツールによるブルートフォースプロテクションを導入する
TCPラッパでサーバのアクセスを制限する
二要素認証(2FA: Two-Factor Authentication)を導入する
SSHに非標準のポートを使用する

多面的なアプローチを導入することで、サーバへのSSHブルートフォースログイン攻撃のリスクを大幅に軽減できると伝えている。紹介されている対策を実施してサーバの防御を強化し、機密データを保護することが望まれる。