1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた(2/3)

パスワードを破る攻撃手法には4つのパターンがある

★ なるほど。パスワードが破られると、そんなに危険なのですね。では、早速、安全なパスワード設定の方法を...。
辻 伸弘隊長
ちょっと待ってください。その前に、パスワードは「長く」「複雑な」文字列で設定し、同じパスワードを使い回ししてはいけないと言われますが、これがなぜだかわかりますか?
★ いや、ちょっと分かりません。
辻 伸弘隊長
安全なパスワード設定の方法を考える前に、この点について考えてみませんか。実は、パスワードを破る攻撃手法を理解すれば、なぜ、パスワードは「長く」「複雑な」文字列で設定し、同じパスワードを使い回ししてはいけないかが理解できると思います。
★ そうなのですか。ぜひ、よろしくお願いします。
辻 伸弘隊長
はい。それでは、早速、オンライン上でパスワードを破る攻撃手法として僕が分類する4つのパターンをご紹介します。まず、一つ目が 総当たり攻撃です。ブルートフォースアタックなどとも呼ばれますが、分かりやすい呼び方として、僕は総当たり攻撃と紹介しています。
★ 考えられる全ての文字列を、片っ端から試行する方法ですね。
辻 伸弘隊長
そうです。具体的には、ユーザーIDを固定して、決められた条件に対し、パスワードを全て試行する方法です。例えば、パスワードが4ケタの数字の場合は、「0000」から「9999」を総当たりでログイン試行します。
★ なるほど。パスワードが短いと、簡単に解析されてしまいますね。
辻 伸弘隊長
おっしゃる通り、総当たり攻撃は確率論的な手法ですので、「短いパスワードはやめ、長い文字列を設定しましょう」というのは、この攻撃への対策になるためなのですね。
★ わかりました。では、二番目の攻撃を教えてください。
辻 伸弘隊長
二番目は、辞書攻撃です。これは、考え方としては総当たり攻撃と同じです。 「総当たり攻撃」「辞書攻撃」 すなわち、ユーザーIDを固定して、総当たり的にログインを試行しますが、このとき、パスワードに「辞書に登録されているような」文字列を使います。言い換えると、「人が利用しがちな単語」を使うのです。
★ 人が利用しがちな単語ですか。
辻 伸弘隊長
はい。例えば、ニュースなどで破られやすいパスワードのランキングなどが発表されますが、そこに載っているような「password」や「123456」というような人が使っていそうな文字列、辞典に載っている単語や、単語を逆に綴った逆スペリングの単語、よくあるミススペルや省略語なども「人が利用しがちな単語」といえます。
★ 他にはありますか。
辻 伸弘隊長
「12345678」「222222」「abcdefg」といった連続した文字または繰り返した文字や、サービス名と単純な数字の組み合わせ、「qwerty」などキーボード上に並びあう文字列も危ないです。また、辞書は進化していて、例えば、「password」を「p@ssword」に置き換えるような文字列のパターンも辞書に収録されている可能性があります。
★ まさに、攻撃者とのいたちごっこですね。
辻 伸弘隊長
利用者の多いサービスなどでは、こうした代表的なパスワードだけでも、数十万、数百万人という規模のユーザーが使っている可能性があるので、かなりの確率でログインに成功してしまう可能性があります。辞書攻撃に対するユーザー側の対策は、上述したような文字列をパスワードに設定しないことです。
★ なるほど。では、三番目の攻撃は何でしょう。
辻 伸弘隊長
三番目は、リバース型攻撃 です。リバースブルートフォースアタックなどと言われることがありますが、これは、「総当たり攻撃」「辞書攻撃」のリバース、すなわち逆バージョンの攻撃ということで、僕は「リバース型攻撃」と呼んでいます。 「リバース型攻撃」
★ パスワードを固定して、ユーザー名を変えながらログインを試行していくのですね。
辻 伸弘隊長
そうです。このとき使われるパスワードは、上述したような、ログインに成功する確率の高い「破られやすいパスワード」が用いられます。攻撃者からすれば、破られやすいパスワードを設定しているアカウントを一気に狙えるため、特に金銭目的の攻撃では効率的な手法といわれています。
★ ユーザー側の対策はどうなりますか?
辻 伸弘隊長
ユーザーの対策は、「総当たり攻撃」「辞書攻撃」の項で述べた組み合わせです。すなわち、長く、複雑な文字列を設定し、辞書に載っているような、多くの人が使っていそうな文字列を設定しないということです。
★ なるほど。では、最後に四番目の攻撃です。
辻 伸弘隊長
四番目は、リスト型攻撃です。2013年4月くらいから、国内の複数のサービスにおいて、リスト型攻撃によるものと思われる不正ログインの被害が多数報告されています。これは、IDとパスワードが記載されたリストに基づき、1つのIDと1つのパスワードをセットにしてログインを試行する方法です。 「リスト型攻撃」
★ IDとパスワードのリストはどうやって入手するのですか?
辻 伸弘隊長
アンダーグラウンドのマーケットから買うことや、サーバーの脆弱性などを悪用して、別のWebサイトへ不正にアクセスして入手することが考えられます。オンライン上のサーバーから盗み出したID、パスワードの多くはハッシュ関数に基づき暗号化(ハッシュ化)されているので、攻撃者は、ハッシュ化されたパスワードを、オフライン上で解析するのです。場合によっては潤沢なリソースを利用するためクラウドのサービスを利用する場合もあるかもしれません。この際、総当たり攻撃や辞書攻撃の手法を使うことがあります。
★ なるほど、長くて複雑な文字列というのは、万一、サーバーなどからパスワードが流出した際にも、破られにくくする効果が期待できるのですね。
辻 伸弘隊長
そうです。ただし、オフラインですとかなりの数のパターンを短時間に試すことができますのでその強度によっての時間稼ぎと考えておくのがよいですね。

攻撃者によって解析されたパスワードがリスト化され、Aサービスから盗んだID、パスワードでBサービスにログインという風に試行していくため、複数のサービスで同じパスワードを使い回していると、どんどん不正ログインされてしまう可能性があるというわけです。こちらも、金銭目的の攻撃では効率的な攻撃手法といわれます。
★ ユーザー側の対策は、パスワードを使い回さないということですね。
辻 伸弘隊長
おっしゃる通りです。
関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji