セキュリティめがね 第5回　安全なパスワードはこうして作れ

「ユーザーIDとパスワードを入力してください」

あなたは一日に何回このメッセージを目にしますか？

職場で使うグループウェアやアプリケーション、プライベートでのブログ更新やオンラインショッピング、そしてネットバンキング等々、毎日の仕事と生活に欠かせないサービスの多くが、ユーザーIDとパスワードを入力しなければ使うことができません。イギリスの調査によれば、1人がおぼえなければならないパスワードは平均15個に及ぶそうです。

そして、ご存じですか？ パスワードには弱いパスワードと強いパスワードがあることを。

弱いパスワードとは、たとえば4桁のパスワードに自分の生年月日を使うような、他人に容易に推測され、破られてしまうパスワードを指します。
では、強いパスワードとは一体どのようなものなのでしょうか。

今回は、誰でもすぐにできる、強くて安全なパスワードを作る方法を見ていきましょう。

※（参考）
「覚えなければならない暗証コードは1人平均15個」（JAPAN JOURNALS）

■パスワードはあなた自身

まず、ユーザーIDとパスワードをおさらいしておきましょう。

ユーザーIDとは「私は○○です」と自己申告している名前です。自己申告ですから当然、本人である証拠はありません。そこで、チェックする仕組みの一つとして「本人しか知らない情報」が使われます。これがパスワードです。パスワードが他人の手に渡ってしまうと、「なりすまし アナタのふりして 不正アクセス」にあるように、大事な情報や財産が盗まれてしまうかもしれません。

そのため攻撃者は、あらゆる手段でパスワードを手に入れようと画策します。以下に、攻撃者がパスワードを手に入れるための代表的な２つの手法を挙げます。

１．パスワードを不正に入手する
パスワードを電話などで巧みに聞き出したり、メモ書きを盗み見る方法です。この方法は「ソーシャルハッキング」とも呼ばれ、人間の行動のミスなどにつけ込む手法です。

２．パスワードを推測する
パスワードに使われているであろう文字列を推測し、次々に入力して答えが出るまで試す手法です。

今回は後者の、パスワードを推測する攻撃にしぼって対策を考えます。いったいどのようなパスワードが推測されやすいのでしょう。

■推測されやすい危険なパスワード

情報処理推進機構（IPA）が提供する「小規模サイト管理者向け セキュリティ対策マニュアル」の「1.4 パスワードの管理と注意」には、次の9項目にわたって、推測されやすいパスワードの例が挙げられています。あなたが使っているパスワードに心当たりはありませんか？

（1） ユーザーIDとパスワードが同じ
（2） 姓名または姓名の片方

※（参考）
「小規模サイト管理者向け セキュリティ対策マニュアル」（IPA）1.4 パスワードの管理と注意

■狙われやすい危険なパスワード

次は攻撃側から見てみましょう。攻撃者は、パスワードを破るために、どういう文字列を試すのでしょう。2006年に警察庁から発表された、実際に攻撃に使われたパスワードの文字列に関する資料を見ると、さきほど挙げた推測されやすいパスワードがずらりと並んでいます。

1位. 123456
2位. 12345
3位. 1234
4位. password
5位. test

具体的な文字列としての上位には含まれていませんが、攻撃者が一番多く試行した、いわばワースト1のパスワードは「パスワードがユーザーIDと同じ（例：ユーザーIDが「user」パスワードも「user」など）」で、全体の約半数（51.59%）を占めました。

※（参考）
「SSH サービスに対する攻撃について」（警察庁 @police）

再びイギリスの例を見てみましょう。あるブログで公開されている、英国でよく使われているパスワードのトップ10です。人の名前や、日本人にもなじみのある組織の名称などが出てきます。

1位. 123
2位. password
3位. liverpool（サッカーチームの名前）
4位. letmein（Let me in : 入れてください）
5位. 123456
6位. qwerty（キーボードの並び順）
7位. charlie（イギリスで定番の名前）
8位. monkey
9位. arsenal（サッカーチームの名前）
10位. thomas（イギリスで定番の名前）

※（参考）
Top 10 Most Common Passwords（Modern Life）

■パスワード作成べからず集

ここまで見てきた実例からもわかるように、以下4項は、パスワード作成にあたってやってはいけない厳禁事項です。

1.ユーザーID＝パスワード
例：ユーザーID：user , パスワード：user
警察庁の資料によれば攻撃全体の約半数を占めています。

2.単純な規則に従った文字列
例：1234 , qwerty
数字の並び順（1234）、キーボードの並び順（qwerty）などの単純な規則に従った文字列。攻撃者はさまざまな規則を自動的に次々と総当たりで試すツールを持っています。

3.辞書に載っている言葉や固有名詞
例：password , test
わかりやすい文字列だけでなく、あまり使われそうになくても辞書に載っている言葉や、人名や地名などの固有名詞は厳禁です。攻撃者は、英単語や人名辞典（日本人の名前や、アニメの登場人物の辞書すらあります）などさまざまな辞書を用意しています。

4.個人情報
例：生年月日,住所,電話番号
あなたのユーザーIDを手に入れたとき、あなたの個人情報も一緒に手に入れている可能性があります。

■安全なパスワードを作る3つのルール

それではいよいよ、強くて安全なパスワードを作る方法を見ていきましょう。

1．アルファベット（大文字、小文字）、数字、記号 のすべてを使う
ABCだけでなく、abc、123、#$% など多様な文字列を使いましょう。攻撃者は単純な文字列から試行していきます。使う文字の種類を増やせば、総当たりや辞書などの推測による攻撃に強いパスワードになります。

2．長くする（少なくとも8文字以上、できれば14文字以上）
攻撃者は短い文字列から試行していきます。使う文字列を長くすれば、推測による攻撃に強くなります。

3．自分は覚えやすく、他人は推測しづらい文字列
攻撃者は世の中で使われている文字列から試行していきます。攻撃者にとっては意味がない、ランダムな文字列は、パスワードを強くします。

上記3つのルールを使ってパスワードを作る例を見てみましょう。

まず、自分が覚えやすいフレーズを準備します。できるだけ長いものが良いでしょう。以下の例は、清少納言の枕草子の一節です。

（例）春は、あけぼの。やうやうしろくなりゆく山ぎは少しあかりて紫だちたる雲の細くたなびきたる。

　この文章をローマ字に読み替え(下記例で句読点「、」「。」はそれぞれカンマ、ピリオドにしました)、いくつかの文字や記号を抽出して、アルファベットを数字や記号などに置き換えるなどし（下記例では、aを＠に、sを5に置き換えています）、パスワード文字列を作成します。

Haruha akebono . yauyau siroku nariyuku yamagiha, sukosi akarite, murasakidatitaru kumono hosoku tanabikitaru .
↓
H@.ysny5amkht.

これでルール1?3を満たす文字列ができました。

1．アルファベットの大文字小文字、数字、記号を使用
2．14文字（スペース含む）
3．フレーズ自体は世の中で使われている文字列であるが、読み替えや省略のルールなどを含めると他人には推測しづらい

※（参考）
パスワードの強度およびパスワードのセキュリティ（マイクロソフト）

べからず集に該当せず、3つのルールに従ってはみたけれども、まだ不安があるあなたは、自分のパスワードが強いのか弱いのか、パスワードチェックツールで診断してみてもいいでしょう。

※（参考）
パスワード チェッカー（マイクロソフト）

■強いパスワードでも管理が重要

いかがでしたでしょうか。安全なパスワードを作ることができたでしょうか。

最後に、たとえ安全なパスワードができたからといって安心してはいけません。もしあなたが、パスワードを不用意に口走ってしまったり、見つかりやすいところにわかりやすく書き留めたり、さまざまなサービスで1つのパスワードを使い回すなどをすれば、攻撃者がパスワードを手に入れる機会は増えます。

パスワードを安全に使うためには、攻撃に強い文字列も重要ですが、その文字列の管理も重要になります。それはまた別の機会にふれることにしましょう。

セキュリティめがねTOP
第4回　未熟な新入社員が狙われる！あなた宛に届くメールに気をつけろへ
第6回　心のスキと弱点を狙う！ オンライン犯罪の手口へ