Windows11でセキュリティ強化！アカウントロックポリシーに関する考察

こんにちは、noダーマです。

皆さんは「リモートデスクトップ接続」という機能を使用したことはあるでしょうか。
どんな機能か端的にご説明すると、PCやスマートフォンを使って別の場所にあるPCを遠隔操作できるものです。

外出先からでもオフィスにあるPCを操作したいときに活用したり、近年だとリモートワークの普及で自宅から社用PCを操作するといった場面で使う機会が増えているかと思います。

さて先日、米Microsoft社のOSセキュリティ・エンタープライズのVice President(※その部署のトップ)であるDavid Weston氏がTwitter上で非常に興味深い投稿をしておりました。

@windowsinsider Win11 builds now have a DEFAULT account lockout policy to mitigate RDP and other brute force password vectors. This technique is very commonly used in Human Operated Ransomware and other attacks – this control will make brute forcing much harder which is awesome! pic.twitter.com/ZluT1cQQh0

— David Weston (DWIZZZLE) (@dwizzzleMSFT) July 20, 2022

内容は、WIndows11でRDP(リモートデスクトップ)を狙ったブルートフォース攻撃(※)対策のためにアカウントロックポリシーが追加される、というものです。
※ブルートフォース攻撃：総当たりでパスワード認証を突破するサイバー攻撃

また米国セキュリティ会社『Malwarebytes Inc』のブログでも当該投稿が紹介されており、10分間のうちに10回パスワード認証に失敗するとアカウントロックがかかる仕組みとのことです。

What Microsoft is doing is setting the lockout to 10 failed attempts in 10 minutes. Some consideration has been given to the fact that not everyone is going to be running Windows 11, and older versions exist that could do with some lockout love. Ask and you shall receive, because these changes are also being applied to older versions of Windows:

Malwarebytes LABS『Microsoft clamps down on RDP brute-force attacks in Windows 11』から引用

という訳で今回はWindows11に導入される「アカウントロックポリシー」に関する考察となります。

目次

• ブルートフォース攻撃対策への有用性
• 気を付けるべきポイント
• アカウントロックポリシーで防げないもの

ブルートフォース攻撃対策への有用性

先ほどのおさらいとなりますが、ブルートフォース攻撃は想定しうるパスワードの文字列を総当たりで入力して突破を試みる攻撃方法です。

攻撃は主にツールやマクロを用いて機械的に行われるため、ごく短時間のうちに何千・何万回もの認証が実施されます。
ブルートフォースは攻撃の性質上、突破成功するまでに何度も認証失敗を繰り返します。

ここでもう1度アカウントロックポリシーの要件を振り返ってみましょう。
10分間のうちに10回パスワード認証に失敗するとアカウントロックがかかる、というものでした。

アカウントロックポリシーが追加された場合、攻撃者は10回以内の試行で認証を突破しなくてはなりません。

後述する例外を除いて、まったく手がかりがない状況から10回以内で認証を突破するというのはほぼ不可能です。

そのためアカウントロックポリシーは、ブルートフォース攻撃対策としては極めて有効と言えます。

気を付けるポイント

上述の通り、ブルートフォース攻撃に対して有効な対策ではあるのですが、気を付けなければならない大事なポイントがあります。

推測されやすいパスワードを使わない

例を挙げると「12345678」や「password」などのようなパスワードです。

上記は最も危険なパスワードに分類されるもので、ブルートフォース攻撃でも真っ先に入力されるでしょう。

同様に自分の生年月日など、利用者の個人情報に関連するものをパスワードに使用するのも推測されやすい例に挙げられます。

いくら対策を強化していても10回以内で突破されてしまっては意味がないので、これらのパスワードを使用しないようにお気を付けください。

パスワードはできるだけ長く複雑に

6文字のパスワードと10文字のパスワードでは、当然ながら前者の方が推測されやすいパスワードとなります。
数字だけ使用したものと、英数字を組み合わせたものも同様ですね。

近年では、推奨されるパスワードは「大文字・小文字・数字・記号を組み合わせた12文字以上」と言われています。

アカウントロックポリシーで防げないもの

アカウントロックポリシーはブルートフォース攻撃に対する対策であるため、ランサムウェアの侵入や脆弱性を突いた攻撃を防ぐことはできません。

これらの対策については、また別の考え方が必要になります。
過去の記事でランサムウェアの解説と対策についてご紹介していますので、よければこちらもご覧ください。