パスワードクライシス・前編 パスワードって何だ?:萩原栄幸の情報セキュリティ相談室(2/2 ページ)
パスワード危機の現実
筆者は幾度と無くパスワードの危険性を指摘してきた。例えば、一番採用されている8けたのパスワードの場合、その種類は「英字の大文字+小文字」の52種、「数字」の10種、特殊文字(計算を簡単にするために8種とする)を合計すると、70種その8乗、約576兆通りになる。
8けたの文字が全く分からないという前提で、「ブルートフォース(総当たり攻撃)」をすると、どのくらい時間がかかるのか。それは1秒間にどのくらい試行できるかということでもある。誤解を恐れずに言えば、実測では最近のPC環境(インテル Core i7プロセッサなど)でだいたい500万回から600万回くらいだ(ツールによって大きな差がある)。仮に、1秒間に1000万回も試行できるなら、クラックに要する時間は平均で0.9年になる。
これを会社の規則で「3カ月に1回は変更」と決めていれば、そこそこは安全かもと思うかもしれない。しかし、これは机上の空論である。内部不正を行う人間が上司のパスワードを盗んで機密データをコピーしようとする場合、「ブルートフォースのような方法を使うだろうか」と考えてみてほしい。
筆者の30年近いセキュリティ事件対応の経験でもそれは皆無である。つまり、対策する側に犯罪者の視点が抜けている場合が少なくない。こういう人間がわざわざ約576兆通りものパスワードを試すだろうか。実際に犯罪者としては、もっとローテクを組み合わせて「楽に、早く、(自分が)安全に」という方針でパスワードを盗む方法を考える。
「ローテクを組み合わせて」というので最も多いのが、いわゆる「ショルダーハッキング(のぞき見)」である。ただ、8文字全部ののぞき見を実際に行うのは難しい。それなら最初の3文字に限って、1週間(5営業日のチャンス)のうちにこれを把握しておく。残り5文字を総攻撃すると、576兆通りの計算に0.9年かかるものが、どのくらい短縮するのか、たったの「1分24秒」だ。カップラーメンにお湯を入れてでき上がるまでに、2人分のパスワードをクラックできてしまう。
本来はこういうパスワードの脆さ、怖さを、コンプライアンスや情報セキュリティの教育できちんと伝えるべきだが、ほとんどの企業が教えていない。10万人もの大企業でも、たった1人のお馬鹿な従業員がパスワードを「password」とすると、そこから侵入され、巨大で堅牢なシステムに簡単に穴があく。こういう輩を事前発見し、「懲戒免職」するくらい厳しい対処をしなければならないほど、パスワードとは脆いものだ。しかし、どうしても人間は楽な方にいってしまう(それが良いかどうかは別問題だが)。
一部の専門家が「犯人はパスワードの組み合わせを試す」と解説しているが、犯人は別にそんな面倒なこと(ブルートフォース)すらしない場合が圧倒的に多い。昨今の不正ログイン攻撃の場合もそうだが、犯人は今ではターゲットのPCやサーバの中の文字列を拾いながら、自動的にそのターゲットに合わせた「ユーザー辞書」を生成し、手軽に攻撃できるようにしている。内部犯罪でブルートフォースなんてしていたら、簡単に検知され、逮捕されるのがオチだろう。
この「ユーザー辞書」では人口知能が駆使され、ソフトが自動的に解析してくれる。例えば配偶者の名前が「奈々子(nanako)」なら、まずその単語を辞書データベースに組み込む。自宅の住所、電話番号、内線番号、車のナンバーなどさまざまな単語、数字も組み込み、その逆列(nanakoならokanan)などの組み合せを何十万ケースも一瞬に辞書として作成し、試行してくれる。数年前にある中規模企業で従業員のパスワードをクラックするテストとした。1人当たり2分程度だけクラックした。計算上解析の可能性としては全体でたった0.00001人未満であったが、現実には数百人分のパスワードを解明できてしまった。要するに多くの従業員が辞書攻撃でクラックされてしまったということである。
20年ほど前には、当時の勤務先の役員が「パスワードをクラックしてみろ」というので、3時間ほどで解明した。役員室で「これですよね。早速パスワード変更してください」と自慢げに報告したら、真っ赤になって叱られた記憶が今でも鮮明に蘇る。これがパスワードの限界だ。
大半の人間は、半年も使わないWebサイトのパスワードを覚えていない(個人差や年齢で大きく違うが)。しかも専門家は、これらのパスワードを「全て違う文字列(まったく脈絡のないように作成する)で作成しなさい」という。筆者は「できない」と断言できる。
冒頭に挙げたIPAの発表に、筆者はなぜ噴き出してしまったのか。次回に解説してみたい。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- ゼロトラストの最新トレンド5つをガートナーが発表
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
ITmediaはアイティメディア株式会社の登録商標です。