日商 Assist Biz

更新

企業を襲うサイバー脅威 パスワード解読①

パスワード解読(辞書攻撃)

今月から2回にわたり、「パスワード解読」について取り上げます。パスワード解読の攻撃にはいくつか種類がありますが、今回は、「総当たり攻撃」と「辞書攻撃」について解説いたします。

まず、「総当たり攻撃」です。この攻撃は、考えられるパスワードの全ての組み合わせを試す攻撃です。たとえば、銀行のATMカード、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999までの1万通り)を片っ端から試す方法がこれに当たります。PCやスマートフォンの場合は、数字だけではなく、アルファベットや記号も含め、同じように全ての組み合わせを試します。時間はかかりますが、全部試せばいつかはパスワードにたどり着けます。人間が入力するのは時間も要し、肉体的・精神的負担も大きいですが、これを自動化したパスワード解読ツールにさせているのです。

次に、「辞書攻撃」です。この攻撃は、パスワードでよく使われる文字列を辞書として持っておき、それを機械的に試していく攻撃です。デフォルト(初期設定)のまま、「123456」「password」「(名前そのままの)hasegawa」「qwerty(キーボードの配列順そのもの)」など単純なものや、名前と誕生日の組み合わせ「hasegawa0103」などです。総当たり攻撃に比べると効率が良いため、攻撃者によく用いられる攻撃方法です。こちらも、総当たり攻撃と同様に人間がするのではなく、パスワード解読ツールにさせているのです。

これらの攻撃への対策としては、まず、パスワードの厳重管理と、推測されにくいパスワードの利用が重要です。パスワードの厳重管理を行うためには、まず他人に知られないよう「機密」として管理することが必要です。メモをする場合は、その厳重管理が必須になります。推測されにくいパスワードを使用するためには、まず桁数と使う文字種を増やすことが挙げられます。パスワードには、数字だけではなく、アルファベットや記号もできるだけ含めるようにしましょう。

次に、自分の固有の情報をできるだけ使わないことです。前述した自分自身の名前や誕生日のほかにも、ペットの名前や車種、趣味に関わることなどがあります。これらをインターネット上、たとえばブログやソーシャルメディアなどで公開していれば、その情報をもとに推測されてしまう可能性があります。実際に、国内外で有名人のソーシャルメディアやクラウドサービスの写真などへの不正なアクセスが最近もありましたが、このような推測しやすいパスワードを使っていたことが原因だったといわれています。パスワードには、すでに他人に知られている情報は使わないようにしましょう。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

今月は「パスワード解読」の2回目です。今回は、近年急増している「リスト型攻撃」について取り上げます。「リスト型攻撃(リスト型アカウントハッキングなどとも呼ばれる)」…

前の記事

長谷川長一

昨年からCMSで構築されたWebサイトを狙った攻撃が相次いでいます。「CMS(Content Management System)」とは、インターネット上もしくはイントラネット上のWebサイトのコンテ…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…