パスワード解読と不正アクセスした研究員の事情：不正事件に学ぶ社内セキュリティの強化策（2/3 ページ）

[萩原栄幸，ITmedia]

パスワードはなぜ流出したか

　被疑者であるK氏は、アンダーグラウンドで出回っているパスワード・クラック・ツールをインターネットや雑誌などから入手していました。わたしも幾つかのツールの存在を知り、実験室で試したことがあります。

　その中のあるツールは、パスワードを総当たりする「ブルートフォース攻撃」や、頻繁に使われる言葉を列記した辞書データを用いる「辞書攻撃（ダウンロードサイトから各国言語の辞書もダウンロードできます）」が可能で、けた数の指定や文字列の特徴を指定するといったこともできました。

　数年前にアンダーグラウンドで評価の高いあるツールの解析スピードを計測したことがあります。環境や条件によって結果が異なるので、あくまでわたしが試した環境ですが、一般的な性能のPCで1秒間に約80万回のクラックが可能でした。

　例えば8文字のパスワードを「総攻撃」でクラックしようとすると、どのくらいの時間で解析できるでしょうか。前提として入力文字種を「10の数字」と「52種類の英字（大・小文字）」、「特殊文字」を足したものとします。計算をなるべく簡単にするために合計70種と仮定すると、パスワードの種類は70の8乗で、この数字を80万回で割ると1秒当たりの回数になります。さらに「3600秒＝1時間」で割り、「24時間＝1日」「365日＝1年」として割り算を繰り返していきます。

　その結果は約23年ですが、これは最悪の場合（つまり最後のケースでパスワードが判明した場合の時間）なので、さらに2で割ったものが平均クラック時間となりますから、平均で11年5カ月を要することが分かります今のPCはこの計測をしたころよりも2倍程度に高性能化していますが、それでも平均5年以上はかかってしまいます。つまり、パスワード・クラック・ツールによる総攻撃は、単純に考えてしまえば役に立たないのです。しかし、視点を変えればそうとは言い切れないでしょう。

盗み見と併用すれば……

　わたしが検証したツールは、K氏の起こした事件でも使われていました。ただし後日分かったところでは、K氏は同僚のID保有者に接触した際に「ショルダーハッキング（横や後ろからののぞき見）」をしていたのです。面談に出向いて、わざとパスワードの入力をしないと話ができない環境にし、同僚の背後からパスワードを見ていたようです。K氏は証言で、「しっかり見ようとしたが、いつも最初の3文字程度しか分からなかった」と述べていました。

　先ほどの8けたのパスワードの総攻撃では、解読に11年程度かかるとしましたが、最初の3文字が分かって、残りの5文字だけを総攻撃で解読しようしたらクラックの平均時間はどのくらいになるのでしょうか。仮に「8：5＝11年:×」と比例関係なら7年ですが……。実際に計算をしてみると、驚くことに約18分でできてしまいます。これならパスワードを解読しての不正アクセスが容易にできるでしょう。