脆弱なパスワードテスト(WPT)

共有

この記事は役に立ちましたか?

最終更新:

脆弱なパスワードテスト(WPT)製品マニュアル

脆弱なパスワードテスト(WPT)について習得するには、以下のセクションを読むか、脆弱なパスワードテスト(WPT)のショートビデオをご覧ください。

WPTの紹介

WPTは、パスワード関連の攻撃の対象となりやすいユーザーのパスワードをActivity Directory(AD)から調査できる無料のツールです。

WPTはADに接続し、ハッシュ化されたパスワードと暗号化アルゴリズムを使用してパスワードテーブルを取得します。次に、WPTは、攻撃の対象となりやすい10のタイプのパスワードの脆弱性に関してこれらのパスワードを分析します。

結果には、テストに失敗したユーザーアカウントとその理由が表示されます。これらの情報は、組織のパスワードの複雑さの要件を厳しくしたり、安全なパスワードの作成と管理についてユーザーをトレーニングしたり、セキュリティを向上するために役立つ他の措置を講じたりするのに役立ちます。

システム要件と前提条件

WPTを実行するには、お使いのシステムが以下の要件を満たしている必要があります。

  • Windows 10以降(32ビットまたは64ビット)、Windows Server 2016以降
  • Windows Server 2008 R2以降で実行されているActive Directory(AD)
  • ドメインコントローラー(DC)にアクセスできること
  • インターネットアクセス
  • .NET Framework 4.7.2が必要に応じてインストールされます。
  • 2つ以上のプロセッサ
  • 2GB以上のRAM
  • システムドライブに1GB以上のハードディスクドライブ(HDD)空き容量があること
  • ユーザーアカウント制御(UAC)が有効になっていること

スキャンにより、一時的にネットワークトラフィックが大幅に増加し、CPU使用率が上昇する場合があるため、ドメインコントローラー以外のシステムでこのテストを実行することをお勧めします。

インストールするには、以下の情報が必要です。

  1. WPTテストに登録した際にメールで送信されたライセンスキー
  2. ADのドメイン名。例えば、MyDomain.comやMyDomain.localなど
  3. DCの名前
  4. ADに接続するための認証情報
重要:テストを正常に実行するためには、WPTを使用してADに接続する際の認証情報は、 [ディレクトリの変更のレプリケート] および [ディレクトリの変更をすべてにレプリケート] アクセス許可が.有効になっている必要があります。これらのアクセス許可により、パスワードテーブルのコピーを取得して、分析することが可能になります。

インストールと設定

システム要件と前提条件をクリアしたら、WPTをインストールして設定できます。このツールの使用を開始するには、以下のステップに従って操作します。

  1. WPTツールをダウンロードするためにWPTのページでサインアップし、WPTのインストールファイルをダウンロードします。
  2. メールを確認して、WPTライセンスキーを入手します。セットアップの際にこのライセンスキーを使用します。
  3. WPTのインストールファイルを実行します。
  4. ライセンス契約を確認し同意します。次に、[インストール]をクリックしてインストールを完了します。
  5. [完了]をクリックして、WPTを起動します。
  6. ステップ1で取得したライセンスキーを入力し、[OK]をクリックします。
  7. [Active Directoryの詳細]で、Active Directory(AD)に関して必要な詳細情報を入力します。
    • ADのドメイン名
    • ドメインコントローラー(DC)の名前
  8. [資格情報]に、作成したアカウントのユーザー名とパスワードを入力します。このアカウントでは、[ディレクトリの変更のレプリケート]および[ディレクトリの変更をすべてにレプリケート]のアクセス許可が有効になっています。
  9. [テスト開始]をクリックして、テストを開始します。
  10. テストでは、AD内のアカウントに脆弱なパスワードがないかどうかが分析されます。ADのサイズやワークステーションのパフォーマンスによっては、この処理に1分以上かかる場合があります。
  11. テストが終了すると、すぐに結果が画面に表示されます。各脆弱性の詳細については、次のセクションを参照してください。

テスト結果を理解する

WPTの結果には、脆弱性があるアカウントの数と、各アカウントに影響する脆弱性が表示されます。以下のセクションでは、テスト結果を操作する方法と、特定されたパスワードの脆弱性のタイプについて説明します。

結果に対する操作

Active Directory(AD)アカウントは、個別の行として表示されます。各行にあるチェックマーク(1つまたは複数)は、特定のアカウントで見つかった特定の脆弱性を示しています。検索ボックスに文字を入力して、特定のアカウントを検索することもできます。

円グラフは、特定された脆弱性の数とタイプを比較しており、自社において最も多いパスワードの脆弱性を判断するために使用できます。

特定の脆弱性を分析する場合は、問題のタイプ別に結果をフィルタリングできます。その場合は、ウィンドウの左側にある特定の問題タイプをクリックすると、そのタイプのアカウントだけがリストに表示されます。

以下は、WPTのユーザーインターフェースに関する詳細です:

  1. ページ左側のサイドバーをクリックすると、問題のタイプによって結果をフィルタリングできます。
  2. 検索バーで特定のADアカウントを検索できます。
  3. 各行にあるチェックマークは、各アカウントで特定されたパスワードの脆弱性のタイプを示します。
  4. 結果はExcelスプレッドシートまたはPDFファイルとしてエクスポートできます。
  5. WPTを再度実行するには、[テストの再実行]をクリックします。このボタンをクリックする前に、現在の結果を保存しておくことをお勧めします。

問題のタイプ

WPTはお客様の組織のデータを分析し、攻撃に対して脆弱となる可能性のある10のタイプの問題を調べます。

  1. [Weak Password](強度の低いパスワード):この問題は、アカウントのパスワードが、KnowBe4の脆弱なパスワードの辞書に記載されているパスワードのいずれかと一致したことを示しています。これらのパスワードは、非常に一般的な用語である、推測が容易である、または、過去にデータが侵害されており攻撃者が利用できるようになっているものなどがあります。
  2. [Shared Password](共有されたパスワード):この問題は、アカウントが少なくとも1つの他のアカウントとパスワードを共有していることを示しています。
  3. [Empty Password](空のパスワード):この問題には、パスワードが設定されていないアカウントが含まれます。
  4. [Clear Text Password](クリアテキストパスワード):この問題には、Active Directory(AD)にクリアテキスト(平文)で保存されているパスワードが含まれます。これは、ユーザーのADパスワードが元に戻すことができる暗号化の手法で保存されていることを示します。
  5. [Password Not Required](パスワードの要求がない):この問題には、パスワードが必須ではないアカウントが含まれます。
  6. [Password Never Expires](有効期限がないパスワード):この問題は、アカウントのパスワードのタイムアウトがゼロに設定されていることを示しています。この設定がされていると、ユーザーのプロパティで[有効期限がないパスワード]チェックボックスがチェックされていなくても、パスワードは失効しなくなります。WPTは、組織のドメインポリシー、詳細なパスワードポリシー、およびユーザープロパティのパスワードの有効期限設定をチェックします。
  7. [LM Hash Password](LMハッシュパスワード):この問題は、 アカウントが、古い手法であるローカルエリアネットワーク(LAN)マネージャーのハッシュを使用していることを示しています。これらのパスワードはブルートフォース攻撃に対して弱く、簡単に解読されます。
  8. [AES Encryption Not Set](AES暗号が未設定):この問題は、そのアカウントがユーザーのパスワードの暗号化にAES(Advanced Encryption Standard)を使用していないことを示しています。AESは、128ビットまたは256ビットの鍵でパスワードを暗号化します。AES暗号を使用したパスワードは、攻撃を受けにくくなります。
  9. [DES-Only Encryption](DESのみの暗号化):この問題は、アカウントが、廃止されたデータ暗号化標準(DES)メカニズムを使用して設定されたことを示しています。これは、AESに対応できない古いソフトウェアを使用していることが原因である場合があります。

  10. [Missing Pre-Authentication](事前認証の欠落):この問題は、アカウントが、セキュリティメカニズムの1つである事前認証をオフにしていることを示しています。有効にすると、事前認証によって暗号化された認証要求が作成され、アカウントへの認証試行が記録されます。

    このアカウントはブルートフォース攻撃を受けるリスクがあります。ブルートフォース攻撃はオフラインで実行されるため、検出が困難です。

設定

WPTをカスタマイズするために、さまざまな設定を選択できます。詳細については、以下のサブセクションを参照してください。

オプションの脆弱性

WPTのスキャンの際、[AES暗号が未設定]または[有効期限がないパスワード]の2つのパスワードの脆弱性を有効または無効にできます。これらの設定にアクセスするには、ウィンドウ右上隅にある歯車のアイコンをクリックします。

カスタムパスワード

WPTは、大規模なパスワードライブラリを使用して、ユーザーのパスワードが脆弱かどうかを判断します。WPTスキャンに追加する特定のパスワードがある場合、これらのパスワードを含むテキストファイルをインポートできます。この設定にアクセスするには、ウィンドウ右上隅にある歯車のアイコンをクリックします。

テキストファイルをインポートする前に、ファイルのサイズが10MB以下であること、また、ファイルの各行にパスワードが1つだけ含まれていることを確認してください。

言語

ウィンドウ右下隅の言語名をクリックして、WPTの言語を変更できます。

セキュリティ

WPTを使用しているときには、Active Directory(AD)とユーザー情報は安全に保護されます。テスト結果では、テストで問題があることがわかったユーザーアカウントとその理由のみを表示します。この情報に基づいて、対策を講じることが可能です。

WPTテストが実行される際のデータの取り扱いについての詳細を以下に説明します。

  • テスト中には、ADの情報は一切KnowBe4に送信されません。
  • ADから抽出されたデータは暗号化されます。
  • WPTは、ADユーザーアカウントのパスワードを表示しません。
  • ADのパスワードはハッシュ化された形式であり、テスト中はそのハッシュ化された形式も表示されません。
  • テスト中に取得された情報は、ディスクではなくローカルメモリに保存されます。

この記事は有用でしたか?

19人中17人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ