まずは、パスワードの現状を考えてみよう。複数のセキュリティ専門家に話を聞くと、一般ユーザーの多くは、図2-1のような文字列をパスワードに設定しているという。

図2-1●こんなパスワードが使われがち
図2-1●こんなパスワードが使われがち
複数の専門家への取材を基に、編集部で作成。専門家によれば、個人ユーザーと企業ユーザーのいずれでも、上記のようなパスワードを設定しているユーザーは多いという。特に多いのが(1)と(2)。

 特に多いのが、(1)ユーザーIDと同じ文字列、と(2)パスワードなし。(1)は、ユーザーIDが例えば「user123」だったら、パスワードも「user123」にすること。(2)では、パスワードの入力が求められたときにリターンキーを押せば、正規のユーザーとしてログインできてしまう。

 (1)と(2)が多いのは、家庭でパソコンを使っている個人ユーザーに限らない。企業内ユーザーでも同じだという。「数年前、社員が1000人規模の企業で調査したところ、4割のユーザーが、(1)あるいは(2)だった」(セキュリティ製品を開発販売するセキュリティフライデー社長の佐内大司氏)。「以前調査したある企業では、ドメインコントローラとして使っている重要なコンピューターが『パスワードなし』で驚いた」(マイクロソフトのチーフセキュリティアドバイザーの高橋正和氏)。同様の話は、複数の専門家から聞かれた。

 「password」などの一般名詞や、人名などの固有名詞も多いという。「『パスワードには、他人には分からない言葉を設定しろ』と言うと、必ずあるのが、自分の彼女やペットの名前。『誰にも話していないから大丈夫』だと言う」(セキュリティフライデーの佐内氏)。

 覚えやすさや入力のしやすさを重視して、短い文字列や、キーボードの配列を利用した文字列をパスワードにするユーザーも多い。

 そのほか、「キャッシュカードの暗証番号と同じ感覚で、4けたの数字をパスワードにしているユーザーは少なくない」(マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏)。

破りの手口、あの手この手

 以上のようなパスワードは、果たして安全なのだろうか。それを知るためには、攻撃者が用いるパスワード破りの手口を知る必要がある(図2-2)。パスワード破りに強い文字列は「安全」、弱い文字列は「危険」と言えるだろう。

図2-2●パスワード破りの手口
図2-2●パスワード破りの手口
パスワード破りの基本的な手口。攻撃者がまず試すのは(1)。次に(3)によってパスワードを破ろうとする。身近な人間が攻撃者だった場合には(2)も行われるが、(2)で推測できるような文字列は(3)の「辞書」に含まれていることがほとんど。ここでの辞書とは、一般の辞書とは別物。パスワード破り用に作成された専用の辞書を指す。

 攻撃者がまず行うと考えられるのは、「(1)単純な推測」。ユーザーIDと同じ文字列をパスワードとして入力したり、パスワードを入力することなくリターンキーを押したりする。

 攻撃者が身近な人物なら、ターゲットの「(2)個人情報に基づいた推測」が行われる場合もある。ただし複数の専門家によれば、(2)よりも(3)の「辞書攻撃」の方が、よく用いられるという。

 というのも、辞書攻撃用のツールや辞書がインターネットで公開されているためだ(図2-3)。ここでの辞書とは、通常の辞書とは異なり、パスワードによく使われる文字列を収めた、パスワード破り専用の辞書を指す。この辞書には、一般名詞だけではなく、(2)で試すような人名や地名などの固有名詞も含まれている。このため、辞書攻撃を行うなら、(2)を実施する必要はほとんどないのだ。

図2-3●ネットで公開される「パスワード破りツール」
図2-3●ネットで公開される「パスワード破りツール」
インターネットには、パスワード破り用のツールが多数存在する。図のツールでは、ターゲットとするWebサイトのIPアドレスと、ユーザーIDおよびパスワードの辞書ファイルを指定すれば、辞書にあるIDとパスワードを次々と組み合わせて、そのWebサイトへのログインを試みる。辞書ファイルもインターネットで公開されている。こういったツールや辞書を使えば、誰でもパスワード破りを試みることができる。
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら