経営者の多くは、日ごろから情報担当役員や情報セキュリティ管理者、もしくは、コンプライアンスやセキュリティに関する社内教育の場で、「パスワードは重要です。必ず他人に分からないように管理して、メモに記載することのないようにしてください」「最低8文字以上で大文字と小文字、数字、特殊文字を混在させてください」などと、耳が痛くなるほど聞かされているでしょう。
どのくらいの経営者が本当にその規則を厳守しているのでしょうか。私は経営者にパスワードについてもヒアリングをしたことがあります。実際には多くの経営者がその指示に従っていません。特に創業者のような場合、「私の会社だ。私がしたいようにする。大きな声では言えないがね……」という方も多いのです。
これは経営者に問題があるのかも知れません。でも、そこを何とかするのが情報担当役員や情報セキュリティ管理者の仕事だと思います。経営者は、資金面などでさまざまな苦い経験を持っているものです。その視点に立って、「パスワード管理の甘さが経営に大きな影響を与える」という具合に説いてみるのが良いでしょう。
私はセミナーの中で、参加した経営者に次のメッセージを呼び掛けています。
「パスワードは実印と同じです。いや、それ以上に強力なものでしょう。安易に側近や部長に自分のパスワードを教えている経営者がいますが、この行為は自殺行為にも等しいものです。実印を他人に渡して自由に使わせてしまうことは、この会社を好きにしていいということと同じです。実印を人に渡すことは絶対にしないですよね。パスワードは実印なのです。だから絶対に人に渡してはいけません」
「データへの侵入」では、攻撃者(クラッカー)がパスワードをクラッキングしてその人になりすまし、システムから機密情報をコピーしてしまうケースが後を絶ちません。ではクラッカーはどうやってパスワードを解析するのでしょうか。
通常は専用ソフトを使い、作業が短時間で済む「辞書攻撃」という手法を用います。アンダーグラウンドサイトでは、パスワードクラックの専用辞書が簡単に手に入ります。当然ながら「日本語」もあります。
クラッカーは、この基本的な専用辞書から実際に使用頻度の高い単語を自分の辞書に加えて使用します。そのサイズは当初の数十倍以上にもなります。よって、パスワードに使う文字は、例えば「keiko001」とか「yokohama123」のような「単語+数字」や「単語を逆にしたもの」「キーボードの縦列や横列の順番」(qazとかhjklなど)、さらには住所の数字や電話番号なども避けなければいけません。辞書攻撃を使えば、これらの文字はわずか数分でクラックされてしまいます。
辞書攻撃がうまくいかない場合、クラッカーは総攻撃(ブルートフォース攻撃とも言います)を仕掛けます。私は以前、PCを使ってブルートフォース攻撃がどの程度の時間で成功するのかを実験したことがあります。実際の時間はPCの性能によって違いますが、現在市販されている最上位機種を利用すれば、1秒間に約600〜1000万回近い文字の組み合わせを計算できるでしょう。
仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。
Copyright © ITmedia, Inc. All Rights Reserved.