普段、あまり意識せずに利用している「パスワード」。意識しないがゆえに、IT管理者はセキュリティを確保しようとさまざまな手段を講じる。それでも「”定期変更”に意味はあるのか」「使い回しをやめさせる方法はないのか」といった問題が常に付きまとう。

セキュリティ専門家は諸問題についてどのように考えているのか。マイナビでは”セキュリティ三銃士”としておなじみであるソフトバンク・テクノロジーの辻 伸弘氏と、セキュリティ業界の御意見番でもあるHASHコンサルティング 代表の徳丸 浩氏に話を伺った(聞き手:三上洋)。

徳丸浩氏(左)と辻伸弘氏(右)

後編はこちら

【辻伸弘×徳丸浩】専門家が語る! パスワード安全性と定期変更問題(後編)

パスワードが破られる・漏れる手口から考えるパスワードの安全性

三上 : まずパスワードが不正に使われる手口から教えて下さい。

辻氏 : “パスワードの安全性”について考える際、「犯人がどうパスワードを破ろうと攻めてくるか」が重要なポイントです。パスワード破りの方法は、3つのパターンが考えられます。

1つは総当りで、すべてのパターンを試すもの。簡単に言うと数字4桁なら0000から9999の1万通りすべて試せばいつかは破られます。インテリジェンスな仕組みを使わずに、総当たりで試す方法です。短いパスワードは総当りで容易に破られてしまいますから、「短いパスワードにするな」と言われるわけですね。

2つめは辞書攻撃です。漏えいしたパスワードのランキングが今年も発表されていました(関連記事:2015年の最悪なパスワードは「123456」 - 「starwars」が初のランクイン)が、「QWERTY」や「123456」などのキーボード並びや、「password」といった覚えやすいものが上位を占めていました。

こうしたパスワードが多数収録されているテキストファイルは、「パスワード辞書」と呼ばれます。「自分のID」や「ペットの名前」などの身近なフレーズ、「password」といった安易な文字列を登録しないようにと言われる理由は、辞書に登録されやすいからなんです。

攻撃者は、この辞書に登録されている「よく使われそうなパスワード」を試していくわけですが、機械的に試行するツールもあり、攻撃が大規模化しています。

また、辞書攻撃の応用編として「リバース型」もあります。弱いパスワードを付けている人は一定数存在するため、Webサイトのフォーム入力画面で、パスワードを固定して入力し、ユーザーIDを変化させていきます。弱いパスワードを設定しているユーザを一網打尽にしてしまう攻撃です。

最後の3つめがリスト型です。どこかのサービスから盗んだり、購入した「IDとパスワードの組み合わせ」を、漏えい元以外のサービスで試す方法です。ネットユーザーが利用するWebサービスが増加するにつれ、ユーザがパスワードを使い回してしまうという特徴をとらえた攻撃ですね。

2013年頃には、どこかのサービスから漏れたID・パスワードを、他のサービスに適用する攻撃が大量に行われました。その頃と比較して「最近は減っているな」という印象はあるものの、決してなくなったわけではありません。不正ログイン事件の企業発表によく出てくる「他サービス漏えいされたものが使われている」というのは、このパスワードリスト型攻撃の話です。

最近では、摘発された東京豊島区の中継サーバー会社に、1800万件のID・パスワードが見つかったという報道がありました。これは、パスワードリスト型攻撃に使われたものと考えて良いでしょう。

社内外でパスワードの重要度が異なる

徳丸氏 : 辻さんが挙げた攻撃手法以外にも、「フィッシングサイトにおけるユーザーの入力」と「内部犯による漏えい」という個人情報の流出経路が存在します。

内部犯はベネッセの事件が起きた2年ほど前から大きくクローズアップされました。「サービス運営者が退職時にID・パスワードを持ち出す」というケースもあるようですが、実態については「よくわからない」という答えが正直なところです。

この対策としては「情報管理体制をどうするか」「管理者のパスワードをどう扱うか」が大事です。共用パソコンでは、管理者権限アカウントで共用しているケースが多く、そのパスワードが問題になります。そうなると、流出の経路が多岐に渡る可能性があります。

三上 : 経路というと、どういうことでしょう?

辻氏 : インターネットなのか、組織内ネットワーク(VPNやクラウドサービスといった、インターネットから組織内リソースへのアクセスを含む)なのかという点ですね。

三上 : それぞれの違いは?

辻氏 : オンラインのパスワードは、先ほども触れた3つの手法で破られます。一方で社内にも危険がないとは限りません。パスワードの入力を後ろから見られてしまったり、徳丸さんがおっしゃったように「パスワードを知りうる人物が異動や退職時に持ち出す」といった問題があります。あとは、部署異動後も共用アカウントが同じ環境であれば、社内リソースを盗み続ける事ができてしまいます。こういった場合には、「パスワードの定期変更」が有効な対策と言えるかもしれません。

徳丸氏 : オフラインの問題は、とにかく物理的な漏えいが問題ですね。

辻氏 : デバイスを使うためのパスワードを、PCなどに貼り付けている例も多く見られますからね。

三上 : 「パスワードをこのように取り扱いましょう」というルールを策定すれば良いと思うんですが。

辻氏 : 一つ言えるのは、一般部門の人だろうが、情シス管理者だろうが、「パスワードの管理方法」で言えば、あまり変わりないんです。

パスワードは長いほど安全?リスト漏えいとネットでの攻撃の違い

三上 : パスワードを長くすればするほど良いのでしょうか?

辻氏 : 長くすればオールオッケーとは単純には言えませんね。

徳丸氏 : ええ、同感です。

例えば、Twitterは6文字以上で設定できますが、それでは短いという人がいます。そういう人たちの考えは「短いパスワードは、一定の知識がある犯人であれば破ることができる」ということなんですが、破れるような環境はあくまで「レイテンシが低く、高速な社内LAN配下の社内システム」であって、外部(インターネット経由のアクセス)ではそう容易いものではありません。逆に言えば、社内はできるだけ安全な設定を行い、「最低でも10文字は必要」と論じる方もいますね。

辻氏 : 社内システムの場合、組織の中からだけではなく、「中のアカウントを経由した外部からの乗っ取りによるアクセス」の可能性を考えなくてはなりません。「社内の人間はしなそう」とだけ考えていてはいけません。

徳丸氏 : 私はWebの人間だから、「8文字以上」が適当だと思っています。8文字以上は入れられないサービスもありますが……。

辻氏 : 私も8文字以上がいいですね。「8文字なら安全なのか」というとまた違う話で、伸ばせば伸ばすほど安全になるんです。結局、「その人が何文字でいいのか」という気持ちの問題になってしまう。「自分が管理できるか」と「安心できるか」という2つのバランスです。実際に「これがベスト」と示しているところはないはずです。

三上 : かつて、「暗号解析には時間がかかる。だから、長ければ長いほど良い」という話があったと記憶していますが。

徳丸氏 : 暗号解析にかかる時間の実験資料がIPAにあります。LANtoLAN環境のWindowsの話です(コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について)。

この資料では「PCの性能に比例してパスワード解析が高速になるため、対策として定期的に変更を」という結論になっているんですよ。あれから8年たって、PCが高速化したので「結局、どうすればいいの?」という質問が私に来るんですが、「あれは違うよ」と回答しています。

それは何故か。先ほども言いましたが、LAN内であれば確かにそういう話はあるんですけど、Web上でパスワードをハッシュ値保存して、という環境では到底できる話じゃありません。

三上 : ヤフーやOCNで過去に数百万件単位で漏れたという話がありました。「ハッシュ値で保存していたから大丈夫」と言われていましたけど、これらはもう平文化されてるものですかね?

徳丸氏 : 2012年に起きたLinkedInの漏えいでは、漏れたデータが比較的脆弱なSHA-1であり、ソルトを使っていませんでした。ハッシュ値もやり方によってその強度が変わってきます。弱いやり方だと、数時間で8桁のパスワードが解読される可能性があります。しかし各ネットサービスは、「ソルトがどういうものか」「ストレッチングをしているか」といったことを公表していません。外部からはハッシュ値の作り方がわからないんですね。

正しいソルトであれば、1つのパスワードに対して1つの文字列ではないから比較的安全です。一方で、辞書攻撃でやられてしまうような弱いパスワードであれば、数千個くらいしかないから、あっという間に解読されてしまいます。ハッシュ解読まで考えたら、パスワードの長さは最低8文字ですね。

ただし、そもそもパスワードの重要度がサイトによって違うという話もあります。WebサイトAには個人情報があり、WebサイトBには大した情報が保存されていないとしましょう。Aは大きな問題となるかもしれませんが、Bでパスワードが漏れても「イヤ」というだけのケースもあります。

まあ両方でパスワードを使い回していたら、結局大事になってしまうんですが……。なので、ハッシュ値を解読されたら「どの程度ヤバイか」と言われても「サイト種別ごと」という答えになってしまうんです。

(編集部注) IT Search+で編集記事を1日2ページ以上閲覧する際には、会員登録・ログインが必要になります。会員規約にはパスワードの定期変更を必須とする旨が記載されていますが、本稿の内容を踏まえて変更を検討中です。

>>どんなパスワードを設定すれば良いのか