固定パスワードは脆弱?
自宅の玄関が、鍵なしでパスワードだけで開閉できたとしたら、安心して出掛けられますか?
銀行のATMが、キャッシュカードなしでIDとパスワードだけでお金を引き出せたとしたら、
その銀行に安心してお金を預けられますか?
守るべきものが身近な個人財産となると、パスワードがもつリスクの大きさに気がつくのではないでしょうか。
ネットワークの世界においても、パスワードの盗難リスクは色々なところに存在します。
Windowsパスワードの文字数を比較的多めの8文字以上とし、そのパスワードも定期的に変更していれば、果たして安全でしょうか?同じパスワードをメールサーバへのログオンにも使用して、メールの受信をPOP3プロトコルで行っていれば、ネットワーク上には平文でパスワードが流れているのです。ネットワーク上のパケットをキャプチャして平文を参照するのは、少し知識のある方なら誰でも簡単にできてしまいます。
下表に一般的なパスワードクラック手口を一覧でご紹介します。
| 手口名 | 内容 |
|---|---|
| ツールによる攻撃 | |
|
・総当り攻撃 (ブルートフォースアタック) |
専用の攻撃ツールを利用してあらゆる文字の組み合わせを試す。 |
| ・辞書攻撃 | パスワードとして利用されやすい文字列を集めた辞書を用い、より効率的に総当りを行う。 |
| ・逆総当り攻撃 | 複数のユーザIDに対して単一のパスワードを試す。 一定回数以上認証に失敗した場合にアカウントがロックされる対策に対抗したもの。 |
| ・レインボーテーブル (Rainbow Table) |
Windowsのパスワード作成時に生成されるハッシュ値(LMハッシュ/NTLMハッシュ)からパスワードを類推する。 |
|
対策 内部ネットワークであれば持ち込みPCの排除や利用端末管理(インストールソフトウェア監視/制限)などで、ある程度の効果有り。 |
|
| ネットワーク盗聴 | |
| ・パケットキャプチャ |
無差別モードに設定したネットワークインターフェースを利用し、ネットワーク上を流れるパケットをキャプチャして解析する。 |
| ・マン・イン・ザ・ミドル (中間者攻撃) |
ARP PoisningやDNSスプーフィングなどの技術を利用し、通信中の2者間に第三者が介入し、双方の成りすましを行うことで、通信の改ざんや盗聴を行う。 |
| 対策 通信の暗号化やサーバ認証の徹底で、ある程度の効果有り。 |
|
| マルウェア(ウイルス)を利用 | |
| ・ウイルス | Webやメール、リムーバブルメディア等を介して感染、パスワードなどの情報を盗み出す。最近ではガンブラーによるFTPのID/パスワード盗難など。 |
| ・トロイの木馬 | 善意のプログラムであるかのように見せかけてコンピュータに侵入し、情報を盗み出したり、設定を変更する手法。キーロガーやバックドアなどが挙げられる。 |
| 対策 既知の手法に対してのみ、ウイルス対策ソフトウェア及び外部ネットワーク接続制限、リムーバブルメディアの利用制限等である程度の効果あり。 |
|
| ソーシャルエンジニアリング | |
| ・フィッシング | 成りすましのメールなどにより、攻撃者が用意した不正サイトに誘導し、情報を得る。 |
| ・ショルダーハック | 肩越しに端末を盗み見て情報を得る。 |
| ・キータイプ音解析 | キータイプ時の音を解析することでパスワードを割り出す。 |
| ・引き出し/メモ帳 | 端末付近での情報収集によりパスワードを盗み出す。 |
| 対策 フィッシングについては、メールに書かれたアドレスを安易にクリックしないこと、その他の物理的な攻撃については、執務室への部外者立ち入り制限によりある程度の効果は得られるが、内部犯行の場合は対策が難しい。 監視カメラ設置によりある程度の抑止効果は得られるが、防止策にはなりえず、事後確認用となる。 |
|
パスワードは、記憶だけに依存した認証なため、万が一盗まれたとしても、盗まれた本人が盗難の事実に気付くことができません。 キャッシュカードなどモノを伴う認証であれば、盗難に遭えば遅かれ早かれ『無い』ことに気づいて、アカウントのロックなどの対処が可能となりますが、パスワードの場合は次回の変更まで使われ続けてしまうことになります。
さらに、故意のなりすましという危険性があります。
例えばセキュリティ意識の低い営業部長が、アシスタントに自分のID/パスワードを教え電子決済システムの承認行為を代理で行わせるといった行為があります。信用している人物といえども一度漏らしたID/パスワードは、どこでどのように使われているか本人は知る由もありません。
リスクに対する想像力の欠如により、大変危険なことが起こりうるのであります。
