コラム

2024.03.01

今も昔も変わらないパスワードの重要性 -驚くほど甘いパスワード設定の現状-

 こんなに危険、甘いパスワード設定

警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(令和5年9月21日)によると、パスワード悪用による不正アクセスの手口では、「パスワードの設定・管理の甘さにつけ込んで入手」が一番多くなっており、攻撃者は苦労せずパスワードを盗んでいることがわかります。盗んだパスワードは、ソーシャルメディアやネットショップの乗っ取りなど直接的に悪用される他、ダークウェブと呼ばれる違法なWebサイト上で売買されます。盗んだパスワードを使って成りすまされ、偽のパスポートづくりや武器・爆発物の購入など違法行為に使われてしまうこともあります。

高度化するパスワード攻撃の手口

パスワード攻撃者が使う手口には大きく分けて「ブルートフォース攻撃」と「辞書攻撃」の二つがあります。「ブルートフォース攻撃」は「総当たり攻撃」や「力任せ攻撃」とも呼ばれ、理論的にあり得るすべての文字列のパターンを入力して突破を試みるものです。単純な方法のように思えますが、コンピューター性能の向上により解読までにかかる時間が大幅に短縮されていると言われています。
「辞書攻撃」は辞書に登録されている言葉と突き合わせることによってパスワードを見つける方法です。困ったことに、過去に起きた情報漏えい事件が元となってパスワード辞書がつくられています。RockYou.txtは、2009年に起きたRockYou社(ソーシャルアプリや広告ネットワークの事業者)から流出した3,200万以上のユーザーパスワードが元になっています。他にも日本人がよく使うパスワードリストとして、lower.gzやmixed.gzといったものもあります。
また、「使うと危険!パスワードランキング」というWebサイトもありますが、ここで紹介されているパスワードリストも辞書攻撃に使えることは言うまでもありません。
(https://wind-mill.co.jp/worst-passwords-top100/)

避けるべきぜい弱なパスワード

パスワードを作るときに絶対に避けなければいけないのは、
・住所や誕生日など個人情報の一部を使う
・辞書にある単語を使う
・短いパスワードを使う
・小文字のアルファベットみを使う
などのように単純な文字に組み合わせにすることです。どうしてこのようなパスワードが好んで作成されるかというと、覚えやすくて忘れないで済むからです。しかし、それでは悪意の第三者にとっても推測されやすいのは当然でしょう。

安全なパスワードは英大小文字+数字+記号で10桁以上

少し前では、安全なパスワードの条件として、
・可能な限り8文字以上の長さを持つこと 
・文字、句読点、記号および数字を含めること
の二つが挙げられていました。
しかし今では、内閣サイバーセキュリティセンター(NISC)によると、パスワードは英大文字+英小文字+数字+記号を組み合わせた10桁以上にすることが推奨されています。

覚えやすくて推測されにくいパスワードの作り方

せっかく推測されにくいパスワードを作っても、複雑すぎて自分自身も覚えられなければ意味がありません。自分にとっては覚えやすく、他人にとっては推測しにくいパスワードを作るために、自分がよく知っている言葉を組み合わせて短い文章にする方法があります。一例として、スピッツのチェリーと谷村新司の昴の歌詞の一部を組み合わせて、好きな数字と記号を追加したものを紹介しておきます。定期的に大文字の位置や数字と記号の位置、歌詞から取り出すフレーズ、曲自体を変えるという風にすれば、定期的なパスワード変更にも困らないでしょう。
「君を忘れない」+「目を閉じて何も見えず」+ラッキーセブンの7+音楽の半音あげ
  ⇒「Kimiwasu7Miezu#」(フレーズの最初の文字を大文字にする場合)
 さらに推測されにくいように加工した例
  ⇒「kiMiwas7umie#Zu」(大文字、数字、記号の位置を変更)

最近のトピックから―Googleドライブの「リンクを知っている全員」による情報共有―

最近の情報漏えいトピックとして、二つほどご紹介しておきたいと思います。
一つ目はGoogleドライブの「リンクを知っている全員」による情報共有です。Googleドライブの共有リンク用URLは無意味で長い文字列としてランダム生成されるので、一見すると安全のように思えますが、前述の「ブルートフォース攻撃」を受ける恐れがあります。
また、URLは公開情報と見なされているため、共有リンク用URLを不正に知り得た部外者がアクセスしても不正アクセス行為には該当せず不正アクセス禁止法で罰せられません。
どれほど難解そうに見えるURLによる共有でも、適切な情報セキュリティ対策を講じていると見てもらえないことを社内徹底しておくことが必要でしょう。
2021年に福岡県が新型コロナウイルス感染症の陽性者9500人分の個人情報を誤って公開状態にしていたと報道されたニュースは、Google Driveの「リンクを知っている人のみに共有」機能を用いたことによる事故でした。

最近のトピックから―PPAPの終焉―

もう一つの情報漏えいトピックはPPAPによる機密情報の受け渡しです。PPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:A(あ)ん号化(暗号化)」「P:Protocol(プロトコル)」の略語であり、電子メールによる機密ファイルの送付に多く使われてきた方法ですが、その危険性からPPAPを採用する企業は減少傾向であり、日本政府もPPAPの廃止を発表しています。PPAPで暗号化されたファイルは、スニファリング(ネットワーク盗聴)ツールでダウンロード可能であり、パスワードは前後の電子メール上で見つかるだけでなく、ブルートフォース攻撃や辞書攻撃を使って破ることもできます。
PPAPをまだ実施している企業では、すみやかにログイン認証のあるクラウドストレージサービスを使った機密情報の受け渡しに変更することをお勧めします。

<執筆者>

MBA 、技術士(経営工学・情報工学)、情報処理安全確保支援士 杉浦 司

『消費を見抜くマーケティング実践講座』(翔泳社※ユニクロ柳井社長推薦)、『 IT マネジメント』(関西学院大学出版会※ユニクロ岡田 CIO 推薦)、『情報セキュリティマネジメント』(関西学院大学出版会※ NTT ラーニング推薦)、『戦略マネジメント』(関西学院大学出版会)等著書多数。

コメント

コメントフォーム