繰り返します! 「あなたのパスワード管理は大丈夫ですか?」“迷探偵”ハギーのテクノロジー裏話(2/2 ページ)

» 2013年01月25日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

条件その1:使用者のモラル

 前提条件の1つは、「啓蒙教育を通じて従業員が本当に納得しており、会社の規則に厳密に則ったパスワードを作成している」というものである。この条件をきちんと実践できている企業や組織はどのくらいあるだろうか――。

 数年前、筆者は従業員が数千人の企業でOA端末の全てのパスワードを解析したことがある。当然だが、CIO、人事部、コンプライアンス部、情報セキュリティ対策室など関連部署と役員の合意を得ている。その結果、3分以内で解析されたパスワードの利用者が6%もいた。

 統計学的には1人未満である。仮に全体を1万人として、運悪く解析されてしまうパスワードの利用者が統計学的には1人いるかいないであるにもかかわらず、この企業では600人もいるという状況だ。これは、明らかに規則を守っていない人が数百人単位で存在するということだ。最近の「サイバー攻撃」に全く太刀打ちしようが無い、極めて危険な状況である。

条件その2:「複合攻撃」には滅法弱い

 セキュリティの専門書などにはパスワードを見破るためのさまざまな方法が解説されている。しかし、それらは「机上の空論」に近いものだ。実際の犯罪でどのように管理者のパスワードが搾取されたのかといった点での検証が全く無い。また、情報処理学会の論文にあるような高度なテクニックを使う攻撃も見たことが無い。パスワードを搾取する攻撃のほとんどは「ローテク」であり、その典型例が「ショルダーハッキング」と無料のパスワード解析ソフトの組み合わせだ。

 パスワードの堅牢さは、入力する文字のパターン数と文字列の相関で決まる。ここで十分に注意しなければならないのは、その計算が「べき乗」であるという点だ。

 例えば、「1億円をあげよう。ただし、その謝礼として今日から米を1粒、明日はその倍の2粒、明後日はその倍の4粒を送ること。これを2カ月間(60日)だけ続けてほしい」と提案されたら、この取引を引き受けるだろうか。

 「1+2+4+8+16+32+64+128……」というのが60日続く。10キロのお米で足りるだろうか。例え100キロのお米が必要でも1億円をもらえるなら、たいしたことでは無いと思うかもしれない。普通の感性では引き受けてしまうだろう。これが「べき乗」の怖さだ。実際に計算すると分かるが、ゆうに昨年収穫した地球全体のお米の収穫量を超えてしまう。1億円どころか、1兆円あっても不可能だ。

(政府発表のよれば1粒は0.02グラム、60日目に渡すお米は2の59乗の約58京粒、量にして115億トンだ。2012年の世界のコメの収穫量は4億5000万トンで、実に26年分になる)

 そして、ショルダーハッキングとはつまり「のぞき見」である。相手に断ったうえで実際に試してみると分かるが、隣席の友人が入力するパスワードを何度かのぞき見してみても、全部の文字を見るのは難しい。割り切って、最初の3文字だけをのぞき見するとすれば、それほど難しくないだろう。さて、ここで考えてみていただきたい。

 8文字の頭の3文字をのぞき見で分かったとする。残りは5文字である。これをソフトで解析してみると、どのくらいでパスワードを見破れるか――ということだ。計算は簡単である。結果は平均1分24秒だ。カップラーメンにお湯を入れてでき上がるまでの3分間の半分にも満たない。これがパスワードの脆さである。

教育で訴えるべきこと

 こうした事実がある以上、情報セキュリティの啓蒙教育において、「パスワードの作成方法は社則で決まっているので必ず守ってください」や「短い文字数や簡単な文字列は規則で禁止されています」というのはまさに愚の骨頂である。言われる方にしても、これではなぜそうしてはいけないのかが理解しづらい。

 説明するとすれば、「社則で決まっているパスワードのルールは、解析に1年近くを要する強度です。それを短くすれば1分程度で可能になり、攻撃者が泣いて喜ぶでしょう。ですから、絶対に隣の人に見られてはいけません。不安ならパスワードはいつでも変更できます」――ということを真剣に伝えるしかない。筆者は繰り返しパスワードの現実をお伝えしてきた。本稿でも繰り返すが「パスワードは実印以上に大事」ということを読者にお伝えしたい。もしパスワードが漏えいすれば、それはあなたの責任問題でなり、懲戒免職すらもあり得るだろう。

 2012年12月にトレンドマイクロがネットユーザーの利用実態を発表している。これによると、パスワードが必要なサイトを1人あたり13.95サイトも利用している。約14サイトだ。ところが、パスワード変更の習慣が無いという人は50%を超えている。同じパスワードを使いまわしをしている人は9割近い。利用している全てのサイトを同じパスワードにしている人もなんと13.9%もいた。これが現実である。

 だからこそ、筆者はやはり「教育」が重要だと思う。セキュリティとは目に見えない脅威なので実感ができにくいのだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ