パスワードの危険性と対策 ~短いパスワードは数秒で見破られる

インターネットの危険な攻撃

パスワードを盗むための攻撃は様々なあり、単純なパスワードにするととても危険です。

 

なお、2008年当時で、情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して解読時間を調べたところ、以下のようになったそうです。短いパスワードが、いかに危険か分かります。

 

英字の小文字だけ、大文字だけを使った場合(2008年当時で)

4桁のパスワード・・・約3秒、 6桁のパスワード・・・約37分

8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年

*今は、コンピュータの性能もかなり向上しており、もっと短時間で解読可能

 

参考:2008年10月 2日

今一度、パスワードを点検しましょう! IPA *表1-1

http://www.ipa.go.jp/security/txt/2008/10outline.html#5

 

なお、パスワード、文字数が多くなっても、辞書にあるような言葉を使うなど、単純にしないことも、大事です。

 

■ パスワードの作り方

 

パスワードは、”英字の小文字・大文字、数字を混合させ、12桁以上にする”これが基本です。

 

なお、パスワードの作り方含め、アカウント乗っ取りを防ぐ方法は、以下ですね。

 

①単純なパスワード(例えば”123456”など)や個人情報(誕生日など)を使ったパスワードにしない

 

②パスワードは”英字の小文字・大文字、数字を混合させ、12桁以上にする”

 

③パスワードを使い回ししない。少なくとも、大事なWebサービスのパスワードは、そこ専用にする

 

④Webサービスの2段階認証を活用する

 

なお、以下にパスワードを見破る方法を紹介します。これをみると、パスワードを安易に考えることがいかに危険かよく分かります。

 

■ 《参考》パスワードを見破る攻撃方法

 

①ブルートフォース攻撃 (数字・文字の組み合わせを試し、ID・パスワードを見つける)

 

攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。危険なのは「123456」、「abcdef」のような極端に単純な、IDやパスワードです。

IDとパスワードの組み合わせであれば、IDを1つ決めて、可能性のあるパスワードを片っ端から試していきます。

また、逆に、1つのパスワードに対して、すべてのIDを片っ端から試すのもあり、「リバースブルートフォース攻撃」(日本語では「逆総当たり攻撃」)と呼ばれています。

 

 

②辞書攻撃 (辞書などにある単語からパスワードを見つける)

 

辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。

 

③個人情報を使った攻撃 (個人情報からパスワードを見つける)

 

個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。

 

 

④パスワードリスト攻撃 (ID・パスワードの使い回しを狙った攻撃)

 

パスワードリスト攻撃とは、Webサイトから漏洩したID・パスワードのリストを用いて、不正アクセスを試みる攻撃です。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法です。

 

どんなに複雑なパスワードを設定しても、同じID・パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。パスワードリスト攻撃は比較的簡単に行うことができるため、様々な場面で悪用され、被害事例の件数も多く、現在最もメジャーなサイバー攻撃の1つです。

 

パスワードリスト攻撃に対して最も有効な対策は、「パスワードを使い回さない」、これが最も重要です。

 

パスワードリスト攻撃が成功すると、該当アカウントを乗っ取り、本人になりかわって様々な行動が可能です。実際に起きた事件の代表的な被害は以下です。

①ECサイト内のポイントの不正使用

②SNSアカウントの不正使用・不正投稿など

③個人情報の流出・改ざん及び削除

④企業秘密の漏洩

 

パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。

 

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ

 

⑤フィッシング詐欺 (詐欺メールを利用しID・パスワードを盗む)

正規の銀行などからのメールと装い、だまして偽りのホームページに誘い、ID・パスワードなどの個人情報を盗む詐欺行為です。フィッシング詐欺は、インターネット版の「振り込め詐欺」と呼ばれています。以下のような対策が必要です。

・アカウント名・パスワード等の個人情報を要求するメールは詐欺と疑う

・通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。

・不審なメールのURLをクリックしない、添付ファイルを実行しない!

 

⑥ソーシャルエンジニアリング (電話などでパスワードを盗む)

電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。この手法でパスワードを盗まれる場合も多いので、注意が必要です。

ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。代表的な例は以下です。

(1) パスワードを入力するところを背後から盗み見する

(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す

(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す

(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す

(5) ごみをあさって、個人情報や機密情報などを入手する