アカウントロックにご用心!Windowsにおける認証の罠 - ラック・セキュリティごった煮ブログデジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用されているという問題であり、ペンテスター(攻撃者)の観点からすれば非常に悪用が容易、かつシナリオの達成(攻撃目的の達成)に直結することも多いことから真っ先に狙う脆弱性です。 しかし、ペネトレーションテストの中でパスワードの強度を確認する際には、気をつけなければならないことがあります。 それは、アカウントロックです。 これは、本番環境で実施することが多いペネトレーションテストにおいて、アカウントロックを発生させてしまうと、テスト対象組織の実業務に影響を及ぼしてしまう可能性があるためです。 アカウントロックは、一定の回数認証に失敗するとアカウントがロックされ
