PWNEDPWNEDへようこそ。このコラムでは、サーバーをセキュアにしない方法を教えてくれた人々を称えています。靴ひもを結んでそれにつまずいたり、プールに飛び込もうとして飛び込み台に頭をぶつけたりしたことがあれば、私たちはあなたのサイバー同等物について話します。
今週の関連する問題はソフトウェア開発企業Nomadic Softの創設者兼CEOであるGregory Sheinから来ています。彼のクライアントの1つは、セキュリティより利便性を優先するという致命的な決定を下し、深刻なデータ損失につながりました。
問題のクライアントはチームのために「シンプルに保つ」ことを望んでいたため、ステージング環境と本番環境の両方に同じ管理者パスワードを使用していました。そのパスワードは推測しにくい「admin123」という組み合わせでした。
パスワード管理ソフトウェアを作成し、最も一般的な200個のパスワードのリストを保有するNordPassによると、「admin123」は世界で10番目に人気のあるパスワードです。「admin」単独では2位を占め、「123456」がトップです。つまり、高度なセキュリティを探していたなら、彼らは間違った場所に来たのです。
さらに悪いことに、会社はパスワードをSlackチャネルにピン留めし、それを必要とするすべての人が簡単に見つけられるようにしました。パスワードが「Vu+}?8wV?5TPy2cLBqc=」であったとしても、これは悪い考えでした。
クライアントが最初にパスワードを共有してから数ヶ月後、元請負業者がいくつかの「テスト」を実行するためにログインしました。しかし、ソフトウェアのベンチマーキングの代わりに、彼らは完全なデータ削除をトリガーしてしまいました。しまった!
Sheinによると、クライアントはセキュリティツールに30,000ドル以上を費やしていました。つまり、このような方法でデータを失ったことに驚いたと思われます。
「SaaSでは、最大の脅威はめったに技術的ではない」とSheinは私たちに語りました。「それは効率性に偽装した人間の怠惰である。」
Sheinのクライアントの失敗から何を学べるかは簡単にわかります。環境間やユーザー間でパスワードを共有しないでください。すべての人が必要なアクセスのみを持っていることを確認し、アクセスが不要になったユーザー(元請負業者など)を削除してください。
Nomadic Softでは、ロールベースアクセスを備えた強制的な認証情報ローテーションを導入しました。Sheinによると、この変更はわずか3ヶ月の期間に不正なアクセス試行を完全に60パーセント削減しました。また、組織がマルチファクター認証を実装し、システムがサポートしている場合はパスワードをパスキーに置き換えることもお勧めします。
「ほとんどのチームは、目の前の明らかなギャップを無視しながら、高度なセキュリティを追求しています」とSheinは述べました。
ネットワークに大きな穴を残した人についてのストーリーはありますか?[email protected]で私たちと共有してください。匿名性は要求に応じて利用可能です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/23/sharing_isnt_caring_pwned/
