安全なパスワード管理
Secure Password Management
1人が利用するパスワードが必要なウェブサイトの平均数
約7割のユーザが3種類以下のパスワードを使いまわして利用。
SNSやブログ、ネットバンキングやネットショッピングなど、さまざまなウェブサイトで私たちは多くのパスワードを保有しています。トレンドマクロ社が2012年に実施した調査では、1人が利用するパスワードが必要なウェブサイトの平均数は13.95件であることがわかりました。そして約7割のユーザが3種類以下のパスワードを使いまわして利用、1種類のパスワードを使いまわすユーザは13.9%でした。約7割のユーザが3種類以下のパスワードを使いまわして利用。
※トレンドマイクロ株式会社の調査報告から抜粋(2012年11月)
会員登録を完了した時点では強制的に指定されたパスワードでも、その後自分の好きなパスワードに変更される方が多いはずです。また、変更後のパスワードの決め方にも、下記のように自分が覚えやすい文字列にする方が多いのではないでしょうか? ・自分の生年月日(19700530、400302)
・自分の愛車の名前(crown)
・自分の名前と生年月日(tomoki0701)
・キーボードの並び順(123456、qwerty) このように他人に推測されやすいパスワードを複数のウェブサイトで共有しているのは非常に危険な状態です。
独立行政法人情報処理推進機構セキュリティセンターが2013年3月に発表した「2013年度版10大脅威~身近に忍び寄る脅威~」の第8位に「パスワード流出の脅威」があげられています。
| 1位 | クライアントソフトの脆弱性を突いた攻撃 |
| 2位 | 標的型諜報攻撃の脅威 |
| 3位 | スマートデバイスを狙った悪意あるアプリの横行 |
| 4位 | ウイルスを使った遠隔操作 |
| 5位 | 金銭窃取を目的としたウイルスの横行 |
| 6位 | 予期せぬ業務停止 |
| 7位 | ウェブサイトを狙った攻撃 |
| 8位 | パスワード流出の脅威 |
| 9位 | 内部犯行 |
| 10位 | フィッシング詐欺 |
次にパスワードを不正に取得する方法について説明します。パスワード攻撃は大きくわけて、「総当たり攻撃」、「辞書攻撃」、「リスト攻撃」の3つに分かれます。
この方法の特徴は、パスワードのマッチングを試せる時間的制約が無い場合、最終的には必ずパスワードが不正に取得することが可能であることです。
例えば、あるウェブサイトのパスワードが数字の4桁で構成されていると考えてください。(そのような危険なウェブサイトは存在しませんが、あくまで例えとして)
この場合、パスワードは0000から9999のいずれかであることは明確です。従って、0000から順に9999まで入力すれば必ずパスワードがマッチするときが訪れます。人間がおこなえば気が遠くなる方法ですが、コンピュータにやらせれば瞬時に作業を終わらせることができます。
下記ランキングはSplashDataがプレスリリースした「もっとも使ってはいけないパスワードランキング」です。これらはインターネット上に流出したパスワードのうち、もっともよく使われていた順にまとめたもので、辞書攻撃においても試される可能性も高く、もっとも使ってはいけないパスワード順位ということになります。
前述した「総当たり攻撃」や「辞書攻撃」は、コンピュータがマッチするパスワードを探している痕跡を容易に発見することができるため、攻撃されているウェブサイトの管理者は、すぐに防衛手段を取ることが可能になります。
一方、リスト攻撃はその痕跡を発見することが難しく、アカウントの所有者が気づかないうちに、個人情報を不正に盗まれたり、金銭的な被害を被ることがあります。この攻撃は、冒頭でお話しした「パスワードの使いまわし」を逆手に取った攻撃方法と言えます。
総当たり攻撃
パスワード総当たり攻撃は、理論的に可能性があるパスワードの文字列をひとつひとつ変化させ、パスワードがマッチするまで試す方法です。その方法から、力任せ攻撃やブルートフォースアタック(Brute force attack)とも呼ばれます。この方法の特徴は、パスワードのマッチングを試せる時間的制約が無い場合、最終的には必ずパスワードが不正に取得することが可能であることです。
例えば、あるウェブサイトのパスワードが数字の4桁で構成されていると考えてください。(そのような危険なウェブサイトは存在しませんが、あくまで例えとして)
この場合、パスワードは0000から9999のいずれかであることは明確です。従って、0000から順に9999まで入力すれば必ずパスワードがマッチするときが訪れます。人間がおこなえば気が遠くなる方法ですが、コンピュータにやらせれば瞬時に作業を終わらせることができます。
辞書攻撃
総当たり攻撃のように文字列を一つ一つ変化させて攻撃する方法とは対照に、辞書攻撃とは、辞書に載っている単語をパスワードにマッチするか試していく方法です。また安易に覚えやすい文字列も同様にマッチするか試されます。下記ランキングはSplashDataがプレスリリースした「もっとも使ってはいけないパスワードランキング」です。これらはインターネット上に流出したパスワードのうち、もっともよく使われていた順にまとめたもので、辞書攻撃においても試される可能性も高く、もっとも使ってはいけないパスワード順位ということになります。
最も使ってはいけないパスワードランキング
| 1位 | 123456 | 10位 | adobe123 | 19位 | sunshine |
| 2位 | password | 11位 | 123123 | 20位 | 12345 |
| 3位 | 12345678 | 12位 | admin | 21位 | password1 |
| 4位 | qwerty | 13位 | 1234567890 | 22位 | princess |
| 5位 | abc123 | 14位 | letmein | 23位 | azerty |
| 6位 | 123456789 | 15位 | photoshop | 24位 | trustno1 |
| 7位 | 111111 | 16位 | 1234 | 25位 | 000000 |
| 8位 | 1234567 | 17位 | monkey | ||
| 9位 | iloveyou | 18位 | shadow |
リスト攻撃
最近増えているパスワード攻撃がこのリスト攻撃です。リスト攻撃とは、他のウェブサイトから不正に取得したパスワードを全く別のウェブサイトで使用できるか試す方法です。この攻撃の特徴は、正当にパスワードを入力するアクセスと、リスト攻撃による不正なアクセスの区別がつきにくいことです。前述した「総当たり攻撃」や「辞書攻撃」は、コンピュータがマッチするパスワードを探している痕跡を容易に発見することができるため、攻撃されているウェブサイトの管理者は、すぐに防衛手段を取ることが可能になります。
一方、リスト攻撃はその痕跡を発見することが難しく、アカウントの所有者が気づかないうちに、個人情報を不正に盗まれたり、金銭的な被害を被ることがあります。この攻撃は、冒頭でお話しした「パスワードの使いまわし」を逆手に取った攻撃方法と言えます。
絶対に破られないパスワードは残念ながら不可能です。でも破られにくいパスワードにすれば被害をにあう確率を低くすることはできます。最低でも下記のルールを守りパスワード管理を徹底しましょう。
・同じパスワードは使いまわさない
・他人が推測しやすい文字列や辞書に載っている単語をパスワードにしない
・大文字小文字のアルファベット、数字、そして「!」や「@」などの記号も含める
・短いパスワードは危険なため、最低でも6文字から8文字以上の長さにする パスワードの使い回しをしないためには、全てのパスワードを覚えなければいけません。メモ帳や付箋紙にパスワードを書くのも安全とは言えません。その問題を解決するのがパスワード管理ソフト。このようなソフトを活用していくことで強固なパスワード管理を実現することができます。 ・パスワードマネージャー(トレンドマクロ社)
http://safe.trendmicro.jp/products/pwmgr.aspx
・ノートンIDセーフ(シマンテック)
http://jp.norton.com/portal-idsafe
・カスペルスキーパスワードマネージャー(カスペルスキー)
http://www.kaspersky.com/password-manager
・他人が推測しやすい文字列や辞書に載っている単語をパスワードにしない
・大文字小文字のアルファベット、数字、そして「!」や「@」などの記号も含める
・短いパスワードは危険なため、最低でも6文字から8文字以上の長さにする パスワードの使い回しをしないためには、全てのパスワードを覚えなければいけません。メモ帳や付箋紙にパスワードを書くのも安全とは言えません。その問題を解決するのがパスワード管理ソフト。このようなソフトを活用していくことで強固なパスワード管理を実現することができます。 ・パスワードマネージャー(トレンドマクロ社)
http://safe.trendmicro.jp/products/pwmgr.aspx
・ノートンIDセーフ(シマンテック)
http://jp.norton.com/portal-idsafe
・カスペルスキーパスワードマネージャー(カスペルスキー)
http://www.kaspersky.com/password-manager
