Information
SIPS Security Report

【配信日】 2020年8月24日

パスワードで分かるセキュリティ認識レベル

パスワードとは、正規の利用者であるかどうかを認証するために、予め決めた文字列である。
そのパスワードには本人だけが知っている決められた文字列で認証する方法と、本人が持っているもので認証する方法、そして本人の特徴を利用した認証方法があり「シングルサインオン」「ワンタイムパスワード」「生体認証」などその認証方式は様々な方法が存在する。
更に本人認証を複数利用する多要素認証やPCの仕組みを利用した電子証明書を使うものなどがあり、文字列では数字、英小文字、英大文字、記号を組み合わせて何桁で使用するかによって認証強度が変わってくる。

一方、パスワードを解読する方法もあり、一般的には「ブルートフォース攻撃」と呼ばれる総当たり攻撃が有名である。
現在、パスワード解析ソフトは検索すれば様々なソフトが紹介されている。
これはサイバー攻撃者達もよく使う攻撃の一つであり、中国ブラックマーケットにも「ブルートフォース攻撃を使いパスワードを検出した」というようなレポートも、時折見かける。

現在、人気テレビドラマ「半沢直樹」が放映中であるが、今回のシリーズではIT技術を駆使した
場面が多く使われていて、パスワード解析ソフト「パスワードクラッカー」により半沢直樹のパスワードを解析するシーンもあった。

先日、国士舘大学非常勤講師でクラウドセキュリティアナリストの大元氏が「半沢直樹で学ぶセキュリティシリーズ」という題目で「半沢直樹の名シーンを題材に、企業のセキュリティ対策としてどのように対策すべきかを考察してみたい。」という記事をYahooニュースに掲載していて興味深く読ませてもらった。
あくまで、「セキュリティをテーマにしたドラマではなく、こういったツッコミどころも含めて楽しむエンターテイメントである」と前置きをした上で幾つか記事を掲載している。

ここで注目したいのは「6桁のパスワード解読に係る時間は?」という内容である。
ドラマの中で設定していたパスワードは、6文字の小文字アルファベットからなる「zansin」であり、そのドラマ内の設定では、6文字の解析に必要な時間は約30分となっていた。
しかしこの時間は2008年頃のPC性能で“6桁の大小いずれかの英字だけのパスワード”の場合、解析時間は最大37分という結果であったが、現在の高性能マシンを使うと僅か数分で解析完了してしまう。
まして以前からよく使っている4桁数字などであれば【瞬時】という事になる。

逆に桁数を8桁にして大小英数字および記号を含むパスワードを使えば、解析にかかる時間は高性能マシンを使ったとしても2年以上かかる。
これは単純に数学で言う順列組合せの世界であるが、これだけでも桁数及び大小英数字および記号を含む設定で強度が高まる事がわかる。

技術の進化によるマシンの性能向上はハッカー達にとっても好都合であり、高性能マシンを使い、専用ソフトで解析すれば、安易に設定しているパスワードなどはハッカーからすればお茶を飲んでる間もなく解析可能で、以前の考え方のパスワードでは意味を成さないということである。

中国ブラックマーケットでハッカー達に情報共有されている「ハッキングしたサーバの権限情報」を見ると、ハッキングされている日本のサーバの「ID/パスワード」はほとんどが単純である。
「root/root」「root/123456」「root/admin」等が代表的であり、これではパスワードクラッカーのようなツールを使う必要もない。
厳しい言い方をすれば、サーバがハッキングされたのは【サーバ管理者のセキュリティ認識の甘さ】以外の何物でもない。

最近ではWebサービスの会員登録時やSNS等のアカウント作成時に求められるパスワードは「8桁以上英数文字を含めること」という設定がされているところも多くなったが、単純に名前や生年月日などの組み合わせを使うのではなく、少し考えた設定をしなければならない。
と言っても難しく考える必要はなく、自分だけのルールを決めればいいのである。

一つの例として紹介すると、日本のPCの場合、日本語の平仮名キーが存在し“あいうえお”は“3E456”のキーを利用する。
そこで本来アルファベットで単語を書く時の母音部分だけ日本語の“あいうえお”つまり“3E456”を使えば数字と英数文字が使えるようになり、忘れない簡単な単語であっても、自分だけしか分からないようになる。
このようなアイデアでも良いだろうし、記号も使えるならば、「a」は「@」、「s」は「＄」などを使ってもよい。
例えば、トンカツが好きな人は上記の方法で英数大小文字を含めて作成すると下の通りになる。
「tonkatsu」　→　「T6nk3ts4」　→(記号含む場合)→　「T6nk＠t$4」

一見覚えにくいと思うだろうが、規則性だけ理解しておけば良いので、自分で忘れない独自のパスワードが作ることができる。
「とんかつ」で2種類できたのだから、家族の名前やペット、出身地など忘れない文字列を幾つか選んで作成すればすぐに10種類以上になるだろう。

さて個人的なパスワードだけでは結果的にハッカーに解析されるまでの時間稼ぎになってしまうので、システム側でもパスワードの機能をどのように扱うかを考えた構築が必要になる。
システム上で制限はあるかもしれないが、可能な限り桁数は8桁以上、大小英数字および記号を含むパスワードを初期設定しなければ受け付けないようにする。
認証時のユーザIDとパスワードの照合処理をクライアント側で行わず、必ずサーバで行う。
更にパスワード入力回数の制限を持たせることにより「ブルートフォース攻撃」にガードをかける。
このような考え方をすることでパスワードクラックを受けても時間を稼ぐことができるという事である。

最後の問題は【サーバ管理者のセキュリティ認識の甘さ】と【企業の上層部の危機感のなさ】である。
各種サービスのログインアカウントのパスワードを顧客が一生懸命考え高度な設定をしたとしても、サイバー攻撃に対する危機感を持たず、それを管理するサーバが安易な管理下で運用されていて、そのサーバに顧客が設定したID/パスワードのデータベースが存在していたら、サイバー攻撃者はそのサーバをハッキングしてそのDBにあるリストを搾取し利用するだけである。

こうなるとパスワード設定者がいくら難しく桁数が多いパスワードなど設定しても意味をもたない。
もしこれがクレジットカード番号とパスワードであったり、キャッシュレスペイのIDとパスワードであれば結果的に流出した情報の個人は不正利用により金銭被害を受ける結果となる。

企業の上層部の人やサーバー管理者の方は勿論、それ以外の人もサイバー攻撃に対する危機感の意識を持ち、自分のシステムのパスワードを再チェックしてみてほしい。
パスワードを有効にするためには、【高度なパスワードの設定】【パスワードに対するシステム側の仕組み】【システム管理者/パスワード管理者のセキュリティ意識】これらが全て揃わなければ、強固なパスワード設定の意味を持たない。
パスワードで情報セキュリティ対策の全てを補う事は難しいが、パスワードがその第一歩であることは間違いない。

毎日セキュリティニュースを見ると不正アクセスによる情報流出のニュースが後を絶たない。
今、日本は40万台以上のサーバがハッキングされていて、そこから情報が流出している。
結果として年間1000億円以上のサイバー攻撃の被害を受けているという事実がある。
しかしパスワード管理をきちんとするだけでも、大きくその被害額を抑えることができるだろう。
次の被害者が貴方になる前に、是非ひとりひとり、それぞれの役割の元パスワードに対するセキュリティ意識を強化してほしい。

　<参考URL>
Yahooニュース：2020/8/12
半沢直樹で学ぶセキュリティ : Part2　6桁のパスワードは何秒で解読可能か?
https://news.yahoo.co.jp/byline/ohmototakashi/20200812-00192786/

ScanNetSecurity：2020/8/18
「はぴｅみる電」にパスワードリスト型攻撃、5件の不正ログインを確認（関西電力）
https://scan.netsecurity.ne.jp/article/2020/08/17/44441.html

Yahooニュース：2020/8/5
三越伊勢丹オンラインストアとエムアイカードのサイトで約2万件の不正ログイン発覚、パスワード変更促す
https://news.yahoo.co.jp/articles/8488d966ded0f1623617f785181aebd727347b68