少し汗ばむくらいの陽気の中,相談室はいつものように開店休業状態だ。室長の四谷博士は,大あくびをしながら相談員の市谷君に声をかけた。

室長:いつもながら暇じゃのう。

市谷:そうですねえ…。そういえば最近,オンライン・バンキングを始めたんですよ。

室長:おお。時代の最先端って感じじゃな。

市谷:…それほどでもないと思いますが。しかし,最近のオンライン・バンキングは進んでますねえ。パスワードひとつとっても,直接キーボードから入力しないようになっているし,使い捨てパスワードを採用している銀行もあるみたいですよ。

室長:どれもパスワードが盗まれないようにする対策じゃな…。パスワード管理が甘いと,簡単に不正アクセスされてしまうからのう。

 そのとき,市谷君のパソコンがメール着信を知らせてきた。

市谷:話が聞こえたんですかね? 不正アクセスっぽい相談が来ました。読みますね。「リアルマネー・トレーディング用に蓄えていた,オンライン・ゲームのレアアイテムを盗まれました。ゲームの管理会社に言っても取り合ってもらえません。苦労してためたものなので悔しいのですが,何とかなりませんか?」。

室長:リアルマネー・トレーディングって何じゃ?

市谷:オンライン・ゲームで獲得したアイテムを現実のお金で売買することですよ。

室長:なるほど…。管理会社が動いてくれないのなら,何ともならんじゃろうなあ。…これで一件落着じゃな!

市谷:…。もうちょっと何とか答えられませんかね?

室長:詳細がわからんとなあ。そもそも,なぜ盗まれたのじゃろう?

市谷:それ,メールで質問してみますね。

室長:返事が返ってくるかのう?

市谷:…あ,もう来ましたよ,返事が。「おそらくパスワードが甘かったことが原因だと思います。管理会社にもそう言われました」ですって。

室長:なるほどのう。ちなみにどんなパスワードだったんじゃ?

市谷:また質問します…。…返事来ました。返事早いですねえ,この方。「パスワードは,“pasuwado(パスワード)”です。二度と破られないようにするには,どうしたらいいでしょうか?」(図1)。

図1●秘密にしていたパスワードが解読された
図1●秘密にしていたパスワードが解読された
オンライン・ゲーム・サイトのパスワードが解読された。二度と破られないようにするにはどうしたらいいのだろうか。

室長:“pasuwado”って,簡単すぎるも何も,論外じゃな…。

市谷:一応,英語そのままじゃないんですけどねえ。

室長:盲点を突いたつもりだったのか? 今どきそんな手は通用しないじゃろう。しかしそれよりも問題なのは,わしらの質問に答えて簡単にパスワードを明かしてることじゃなあ。

 パスワードは,第三者が不正にアクセスするのを防ぐためのもの。売買や取引をしたり,重要な情報を扱うようなときは,慎重な管理が必要だ。だが,パスワードの管理の重要性を認識しているユーザーは少ない。驚くほど多くの人が,すぐわかってしまうような簡単なパスワードを設定している。

安易なパスワードは意味が無い

 例えば英国でユーザーが設定しているパスワードのトップは,「123」だという(表1)。アンケートに正直に答えるようなユーザーはそもそも意識が低いとも言えるが,それにしてもこんなパスワードでは,ほとんど無いも同然だ(表2)。

表1●英国でよく使われるパスワードのトップ10   表1●英国でよく使われるパスワードのトップ10
英国のスチュアート・ブラウン氏のブログ「Modern Life」(http://www.modernlifeisrubbish.co.uk/article/
top-10-most-common-passwords)
による。

表2●日本のクラッカが攻撃に使うパスワードのトップ10  表2●日本のクラッカが攻撃に使うパスワードのトップ10
警察庁の分析レポート (http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdf)による。SSHサービスに対する攻撃を調べたもの。

市谷:liverpool(リバプール)にarsenal(アーセナル)かあ。英国人はやはりサッカーが好きなんですね。

室長:じゃな。しかし,パスワードのランキングが人気のバロメータになるとは,セキュリティ上は由々しき事態じゃのう。

市谷:いっそのこと,超マイナーなチームにしちゃえば安全ですかね?

室長:いや。マイナーとかメジャーとかは関係ないのじゃ。

 パスワードに対する攻撃方法で代表的なものは,「辞書攻撃」と「ブルート・フォース攻撃」である(図2)。いずれもパスワード入力を何通りも試して,正しいパスワードを解読する。

図2●盗まれなくてもパスワードは解読されてしまう
図2●盗まれなくてもパスワードは解読されてしまう
よく使われる文字列はすぐに解読される。そうでなくても総当たりで試されればいつかは破られる。

 辞書攻撃は,パスワードに使われそうな単語の一覧表を“辞書”として持ち,それを次々に試す方法(図2のA)。サッカーのチーム名といったパスワードが危ないのは,辞書攻撃で簡単に解読されてしまうからだ。

 よくあるパスワードの英字を記号に置き換える方法は,単純な辞書攻撃にはある程度有効だ。例えば「sonodam」の「s」を「$」に,「a」を「@」に置き換えて,「$onod@m」にするといった具合だ。ただし,最近はこのような置き換えに対応できる辞書攻撃ツールが存在するので,安心できない。

 一方ブルート・フォース攻撃は,総当たり攻撃とも呼ぶ。これは,可能な文字の組み合わせをすべて試す方法である(同B)。この攻撃にかかれば,理論上はどんなパスワードもすべて解かれてしまうことになる。

市谷:パスワードに単語を使うのは論外なんですね。でも結局はどんな文字列でも解読されてしまうんですか。

室長:そうなんじゃ。ただしパスワードは,長さや文字によって解読しやすさが大きく変わるんじゃ。そこで気をつけねばならないのは,長さや文字を工夫してパスワードの寿命を可能な限り長くすることなんじゃよ。

 ブルート・フォース攻撃によってパスワードが解読されるまでの時間は,使う文字の種類やパスワードの長さに大きく左右される(表3)。

表3●使う文字の種類と桁数による,パスワードの組み合わせ数と総当たり所要時間
表3●使う文字の種類と桁数による,パスワードの組み合わせ数と総当たり所要時間
総当たり所要時間は毎秒40万回のペースで攻撃することを前提に計算した。
[画像のクリックで拡大表示]

 例えば数字4桁のパスワードの種類は1万通り。クラッカがブルート・フォース攻撃で最大1万回試行すれば,パスワードは解読できてしまう。もちろんこの回数は「最大」で,クラッカは通常もっと早く解読に成功する。ただし,数字や文字などの組み合わせが多くなれば,それだけ寿命は延びるのである。

 パスワードの組み合わせを多くする方法は二つ。一つは使う文字の種類を増やすこと。もう一つは,パスワードの桁数を増やすことだ。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら

関連テーマ

あなたにお薦め

バックナンバー

一覧を見る

注目のイベント

セミナー一覧を見る

日経 xTECH SPECIAL

What's New!

経営

クラウド

アプリケーション/DB/ミドルウエア

運用管理

サーバー/ストレージ

ネットワーク/通信サービス

もっと見る