タイトルの通りです。こちらの記事でSAP S/4HANA Trial(無料評価版)をAzureで構築したので、
![](https://infotechlife.net/wp-content/uploads/2024/02/DALL·E-2024-02-11-19.49.46-In-an-office-environment-filled-with-high-tech-gadgets-a-cat-is-setting-up-an-SAP-S_4HANA-trial-on-Microsoft-Azure.-One-monitor-displays-the-SAP-S_4H-300x300.webp)
翌日にリモートデスクトップ(RDP)から、
![](https://infotechlife.net/wp-content/uploads/2024/02/スクリーンショット-2024-02-11-6.08.38-1024x562.png)
SAPGUIをインストールしているWindowsサーバにAdministratorユーザでログインしようとしたところ、
![](https://infotechlife.net/wp-content/uploads/2024/02/スクリーンショット-2024-02-11-6.16.09-1024x524.png)
アカウントがロックされてログインできないとエラーメッセージが出ました。どうやらパスワードを規定の回数を間違えたのでロックされたようです。いや、一回しかログインしようとしてないし。
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-11.51.02-1024x590.png)
OSにログインできないとどうしようもないので、Azureポータル上からパスワードリセットすることにしました。この時はデフォルトで表示されたazureuserのパスワードをリセットしています。手順のリンクは以下になります。
https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/reset-rdp
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-11.50.23-1024x734.png)
azureuserでWindowsサーバにログインしてみたところ、やはりadministratorユーザがロックされていたので、”Account is locked out”のチェックを外してロックを解除しました。
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-11.54.55-1024x736.png)
そのままazureuserを使っても良かったのですが、念のためadministratorユーザでログインしようとしたところ、また同じエラーになりました。なにぃぃぃ!?
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-11.51.02-1024x590.png)
Securityログを確認したところ、グローバルIPアドレス”80.66.88.204″からパスワード攻撃を受けていることがわかりました。やはりパブリッククラウドのセキュリティは警戒が必要。一応簡単には破れないパスワードにしているので、今回はアカウントロックされる以外の被害に遭わずに済みました。(と言ってもTrail環境なので盗まれて困る情報は無いはずですが..)
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-12.03.02-1024x527.png)
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-12.03.13-1024x537.png)
最終的にはadministratorのユーザ名を変更したところ攻撃は収まりました。Windowsサーバ運用では基本的なことですが、ビルトイン管理者ユーザのadministratorのユーザ名は変更しておきましょう。
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-02-12-12.00.50-1024x736.png)
先ほどのIPアドレス”80.66.88.204″を検索してみたところ、やはり悪意のある攻撃だったようです。オランダからでした。
https://www.abuseipdb.com/check/80.66.88.204
![](https://infotechlife.net/wp-content/uploads/2024/03/スクリーンショット-2024-03-20-15.23.11-1024x731.png)