パスワードはバレるのか!? – 推測・漏洩による被害とその対策 –


■パスワードはバレるのか!? – 推測・漏洩による被害とその対策 –

インターネットを利用する際、

セキュリティを確保するうえで

基本中の基本となるのは、

パスワードの利用とその安全な保護。

しかしながら、残念なことに、

パスワードの漏洩や推測に関する被害は

後を絶たない。

その理由として、ハッキングなどにより

パスワードを登録しているサイトから漏洩する、

簡単なパスワードを利用していたが故に、

推測されてしまう、などがあげられる。

しかしながら、多くの人にしてみれば、

・とは言え自分は大丈夫

と思うことも多いのではないだろうか?

ただ、自分も含めて、そう考えるのは

あまりよろしくないと考えている。

その理由について、最近目にした記事をきっかけに、

・パスワードは本当にばれてしまうものだろうか?
・ばれないようにするにはどうしたらいいのか?

など、パスワードに関する様々なケースを

考えてみようと思う。

  1. 漏洩している場合
  2. 推測される場合
  3. 生じる被害
  4. 対策
  5. まとめ


漏洩している場合

まず、

・そもそもパスワードは漏洩するのか?
・漏洩しているかどうかはどうやってわかるのか?

という話。

漏洩は実際にしている。

Google などで、

『パスワード 漏洩 事例』

などのキーワードで調べるだけでも、

いろんな事例が簡単にでてくる。

また、最近では、こんな記事も出ていた。

ハッキング被害に遭った2300万人以上が使っていた最も危険なパスワードは「123456」

これによれば、

・123456
・qwerty
・password

など、すでに露呈している上に

脆弱なパスワードの代表となっているものが、

まだまだ多数使われている、

ということのよう。

qwerty などは一見複雑そうに見えるが、

キーボードのアルファベット再上列を

左から順に 6 文字並べただけ。

覚える必要はないが、かなりよくつかわれている。

記事では、ハッキング被害にあったパスワード、

という形で紹介されているため、

推測されているというよりも、

もはや露呈しているという状況。

他にも、いわゆるダークウェブでは

22 億件以上のパスワードが売買されているという。

22億件超の流出アカウント情報、ダークウェブで一括公開

いろんな企業のいろんなサービスについて、

かなりの頻度で不正アクセスだとか

情報漏洩だとかがニュースになっている

ことを考えれば、

・パスワードは漏洩しうるものだ

という風に考えたほうがよいだろう。



推測される場合

漏洩していないとしても、

簡単に推測できてしまっては、

結局漏洩したのと同じことになる。

先ほど紹介した

ハッキング被害に遭った2300万人以上が使っていた最も危険なパスワードは「123456」

の記事では、

・人気キャラクターの名前
・人気ミュージシャンの名前
・スポーツチームの名前

などもハッキングに使われたパスワードとして

多かったということのようだ。

こういった情報を鑑みれば、

辞書攻撃で用いるリストの中に、

流行歌や人気歌手、人気グループ、話題のチーム

などを入れておけば、

それなりにあたる可能性が出てくる

ということになるだろう。

しかも、特定の個人を狙う場合、

いわゆるソーシャルエンジニアリングとして、

SNS で情報を収集し、

好きなアーティストやチーム、キャラクター、

その他交友関係等々を集めていけば、

使っているパスワードを

推測される恐れがあるということだ。

他にも、初期パスワードを

そのまま使っている場合や、

ユーザーアカウント = パスワード

みたいなことをやっている場合も、

漏洩同様の状況が起こりうることになる。

ということで、ありがちなパスワードというのは、

既に漏洩しているし、また推測しやすい

という話になりそうだ。



生じる被害

では、パスワードが漏洩したり推測されると、

いったいどのような被害が発生するのだろうか?

まぁ、そんなことは言わずもがなで、

使っているサービス次第であるが、

自分ができることは攻撃者になんでもされてしまう

ということになる。

そんな被害例は山ほどあるが、

ちょっとめずらしい使われ方をしたのがこれ。

米名門校の「生徒会選挙」でハッキング、Gメールを不正利用

生徒会の選挙の上、

攻撃者があまりにも稚拙な行動をとったから

不正が露呈した、という

おそまつっちゃーおそまつな内容。

ただ、

・生徒会といえ選挙に使われている
・他の生徒のアカウントを乗っ取られている

ということを考えれば、

パスワード露呈による被害といえるだろう。

これはそれほど大きな被害ではないが、

一般的な話で言えば、オンラインバンキングなら、

自身の口座から不正に送金されるとか、

犯罪用の口座として使われてしまうとか、

そんなことが考えられるだろう。

他にも、facebook なら自分が書いていないことを

かかれるとか、非公開の情報を公開されるとか、

まぁいろいろ考えられる。

こういった直接的な被害も甚大だが、

踏み台的に犯罪に利用される、

というのもかなり大きな被害だ。

場合によっては人生終わりかねない。

パスワードがばれてアカウントが

乗っ取られてしまった場合、

自分のアカウントで不正行為が行われている以上、

それをやったのは自分ではない、

と証明するのはなかなか大変だと思う。

ということで、パスワード管理は

きっちりしておかないと、

場合によっては甚大な被害になりかねない、

という所は今一度認識を新たにしたほうがよさそうだ。



対策

では、対策はいったい

どうすればいいのだろうか?

一般的に言われているのは、

英数、記号を含めた 8 文字以上

のパスワードを設定する、

というのが多いと思われる。

まぁ、要するに、これまで述べてきたような、

・簡単に推測されるようなパスワードは使うな

という話である。

これ自体は別に間違っちゃいないのだが、

そのための手法として、

・a -> @, o -> 0 みたいな記号への置き換え

みたいなことは、あまり意味がない。

ベースとなるパスワードが短かったり、

簡単に推測できるようなものであれば、

それから上述のような置き換えしたものを

別のパスワード候補として推測されてしまうからだ。

また、何文字以上は文字や数字を連続させない、も

正直あんまり意味がないどころか、

逆にその制約によってパスワードを作りにくくなり、

一回作ったものを使いまわしてしまうとか、

一部を変えたものを使いまわすとか、

結局脆弱な運用になってしまうと思われる。

システム的にこういう運用を強制させるサービスは

本当に勘弁してほしいと思う。

じゃぁどうすればいいか、となると、

パスワードではなくパスフレーズを

許容すればいいだけだと思うのだが。

結局、辞書攻撃でも総当たりでも、

長さが長いほうが一番当たりにくいのである。

なので、例えばだが、

kono_saitono_pasuwa-doha_naisho

なんてものをパスフレーズとして利用するだけでも、

多分相当強度は上がると思われる。

これだけで 31 文字並べただけ。

ランダムな 31 文字を覚えるのは、

正直かなり苦痛だが、こういった

意味のある文章であれば、意外と覚えられる。

しかも、長さがある分、辞書などでも

当たりにくくすることができる。

ということで、パスワードとして

任意の長さを設定できるサイトなどでは、

なるべく長い、パスフレーズ

を登録するのがよいのではないかと思っている。

では、定期的な更新に関してはどうだろうか?

こちら、これほどパスワードが露呈している以上、

定期的なパスワードはやっておいたほうがよいだろう。

ただ、どんなサイトでも頻繁に変更を

求められてしまうと、

どのサイトでどんなパスフレーズだったかを

忘れてしまうので、やっぱり使いまわしがちになる。

ということを考えると、定期的に更新はしたほうがいいが、

露呈することが判明するまでは使い続ける、

ということもありかもしれない。

自分が使っているサイトから連絡があるとか、

これまで記載したような記事で

パスワード漏洩が疑われるような状況になれば、

その時に変更する、というのがよいのかもしれない。



まとめ

ということで、相も変わらず

稚拙な文章となってしまって恐縮だが、

結局のところ、

・パスワードは露呈や推測されうることを認識すること
・パスワード管理にはもっと注意を払ったほうがよいこと
・パスワードにはなるべく長いものを使うこと
・漏洩情報に気を配り、いつでも変えれるようにすること

ということが重要だと思う。

また、不要なサービスやアカウントは

今一度見直して削除するなど、

パスワードやアカウントをちゃんと管理する

ということも非常に重要となる。

自戒の意味を込めて、

パスワードについて今一度見直したほうがよい

と思ったので、この記事を書いてみた。

少しでも役に立てばよいのだが。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ パーマリンク