space
2001年11月16日更新-
space
セキュリティ:常時接続
第7回:「パスワードクラッキングの現実性」
-
インターネット上のサービスを利用するためには,パスワードは必要不可欠のものだ。ただし,安易に設定されていれば,パスワードはその機能を十分に果たすことができない。クラッカーはあなたのパスワードを常に狙い,悪用することを考えているからだ
space
space
space

 いまやパソコンを利用するうえで,「パスワード」はなくてはならないものとなっている。メールやインターネット上のさまざまなサービスを利用するときに必要だし,またローカルな環境では,他人にコンピュータをいじられないように,パスワードでロックをかけることもあるだろう。しかし,パスワードの設定自体に問題があれば,そのパスワードは「カギ」としての意味をなさないことになる。

 しかし,実際には簡単に想像できるようなパスワードを設定していたり,またすべてのサービスに同一のパスワードを設定している場合も多い。そういったユーザーのパスワードが,悪意のある第三者によってクラックされてしまうと,「なりすまし」などに悪用されることになる。

 パスワードの設定が甘いユーザーは「まさか自分のパスワードが盗まれる(憶測される)わけない」と考えているのだろう。パスワードが不正に利用されてもなかなか気が付かないケースが多い。

 他人のパスワードを使えることができたらと,誰でも一度は考えたことがあるだろう。たとえば,あるユーザーのメールパスワードを知るためには,どういった手順で考えていくだろうか? なんの情報もなければ,たとえば「LOGIN=itmedia」だったら,「PASSWORD=itmedia」のように,

「ユーザー名(ログイン名)」=「パスワード」

を試してみるだろう。次に本名がわかっていれば,その情報を元に

「名前」=「パスワード」

「名字」=「パスワード」

を試すといった具合だ。さらには,これらの前や後ろに数字をあてはめるなど,いろいろなパターンが浮かぶはずだ。

 実は,たったこれだけのことでも,かなりの数のパスワードがクラックできてしまう。プロバイダのアカウントなどは,アカウント申請時に「ユーザーのお好きなパスワードを設定してください」としているところも多いが,こういったプロバイダでユーザーのパスワードをチェックしない場合(甘いパスワードでも設定してしまう場合),覚えやすいからと安易なパスワードを設定しているユーザーは,パスワードが簡単にクラックされてしまうことになる。

 クラッカーはこういったプロバイダのアカウントを利用し,他人になりすますことで,ほかのクラック行為などに使用することができる。

 また,管理の甘いプロバイダなどであれば,単純なコマンドでパスワードファイルを入手できることもある。なんらかの形でパスワードファイルを手に入れれば,あとは暗号化されたパスワードを解析するために「パスワードクラッカー」を使用する。

 別のケースも考えられる。プロバイダなどのアカウントに,分かりにくいパスワードを設定していた場合でも,フリーメールやオンラインサービスのパスワードなどがすべて同一で,かつ甘い設定であった場合,1つのパスワードがクラックされると,ほかのサービスのパスワードも利用されてしまうことになる。たとえば,掲示板の書込み削除用パスワードなどがフリーメールのパスワードと同一という場合,管理の甘い掲示板であれば,その書込みログから,そこに書かれているフリーメールアドレスのパスワードが漏洩することも考えられる。

space 1/4 NEXT