アメリカ内務省でも使われてしまった「単純なパスワード」が危険な理由

ASCII.jp / 2023年1月27日 9時0分

「Password-1234」は危険だ

　他人の個人情報や企業のデータを狙うサイバー犯罪者にとって、「パスワード」はもっとも知りたいものの一つだ。そのパスワードを暴く攻撃の一つに、「辞書攻撃」（Dictionary attack）がある。

　暗号や暗証番号などで、理論的にありうるパターンのすべてを入力し解読する解読法「ブルートフォースアタック」（Brute-force attack、総当たり攻撃）は、試行回数が多く、時間がかかる。それに対し、辞書攻撃は、よく使われるパスワードを「辞書」的に登録し、特定文字列を推察して攻撃に利用する。

　こういった攻撃からの被害を防ぐため、パスワードを作る際は、一般的な単語や人名などを使用せず、ランダムな文字や数字列などを使った複雑なパスワードにすることが重要になる。逆に言えば、「password」のような推測されやすい英単語、「123456」のような単純な数字の羅列はよくないとされている。

　しかし、アメリカ合衆国内務省が2023年1月に発表したセキュリティ監査によると、内務省の中でも少なくない人数が「単純な」パスワードを設定し、使用していたという（P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk | Office of Inspector General, U.S. Department of the Interior）。

　調査内で攻撃されたパスワードは「ハッシュ」と呼ばれる形で保存されている。特定の計算手法に基づいて、元のデータを不規則な文字列に置換した（ハッシュ化）したもの。たとえば「Password-1234」なら「A71FB31235347EA75956B6155ED36899」になる、というような具合だ。そのため、攻撃者はハッシュを取得するだけではなく、元の平文形式によるパスワードの復元を試みる必要がある。

　この調査では、オープンソースのソフトウェアと、複数の言語からなる辞書、米国政府の専門用語、ポップカルチャー、公共・民間を問わず過去の情報漏えい事件から収集した（一般に公開されている）パスワードリストからなる「カスタムワードリスト」を用いて、パスワードハッシュを解読するための専用システムを構築したとのこと。

　これらの単語を操作し、組み合わせて、パスワードの候補を作成するためのルールとプロセスを作成して調査を実施。その結果、8万5944件のアカウントのパスワードハッシュに対して、1万8174件のパスワードを解読することに成功したという。

　解読されたパスワードのうち、「Password-1234」（478件）「Password123$」（318件）「1234password$」（138件）といった単純なものや、「ChangeIt123」（140件）「ChangeItN0w!」（130件）という言葉（Change It＝変更せよ）を使ったものなども少なくなかった。

　さらに、内務省の多くの部門で多要素認証が有効化されていなかったため、パスワードが明らかになることで、即座にデータ侵害に繋がるおそれがあったことも明らかになっている。

　この調査でもわかるように、単純なパスワードはすぐに暴かれてしまう。さまざまな個人情報などをネット上に入力することも多い時代、「自分だけは大丈夫」と思わずに気をつけることが大事だ。

複雑なものにする、使い回しはしない

　現在では、顔認証や指紋認証のような生体認証ツールが普及し始めている。もっとも、パスワードによる認証法も、我々の生活の中で必要不可欠な存在といえる。

　そのため、パスワードを作成する際には、推測されにくいものを用意する必要がある。特殊文字や数字、大文字、小文字をランダムに組み合わせ、個人情報（名前や誕生日など）が含まれないようなものがよいだろう。

　また、すべてのアカウントに同じパスワードを使用することもNGだ。もし、パスワードを使いまわしていた場合、1つのパスワードが解読されたり情報漏えいなどで流出したりした場合、他のWebサービスやSNSへもアクセスされる可能性が高くなる。

　あわせて、ログインの際に、パスワードだけでなく電話番号（SMS）などによる認証も必要になる「2段階認証」（ログイン認証）などもセキュリティとして有効なので、設定しておきたい。

　自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用可能だ。

　なお、パスワードの強化だけでなく、全体的なセキュリティの強化も忘れてはならない。信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守るのも、基本中の基本だ。

　今回は、McAfee Blogの「安全なパスワードを作成するための5つのヒント」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

安全なパスワードを作成するための5つのヒント：McAfee Blog

顔認証や指紋認証のような生体認証ツールは、データやデバイスを保護する方法として一般的に浸透しはじめていますが、依然として強力なパスワードは私達のデジタルライフを守る安全対策の中でも必要不可欠な存在です。

私達の多くは、アカウントやパスワードをたくさん持っていることで時に忘れてしまい、苛立ってしまうことがあります。そのため、短くて使い慣れたパスワードに設定したり、多くのアカウントで同じパスワードを繰り返したり使用するなど、ついつい危険なパスワードの使い方をしてしまいがちです。しかし、パスワードの安全性を確保することは、実はそれほど難しいことではありません。ここでは、安全なパスワードを作成するための重要なヒントをご紹介します。

シンプルであることは安全ではない

例年の調査で最も一般的に使用されているパスワードは、”1234567 “や “password “といったシンプルなものであることがわかっています。これは、サイバー犯罪者にとってはおいしい情報ですが、私達の個人情報や金融情報の安全性という面において、とても悪い知らせといえるでしょう。

強力なパスワードを作るためには、いかに長くて複雑かどうかが重要です。こうすることでサイバー犯罪者が推測することが難しくなり、アルゴリズムを使用した上で組み合わせを素早く処理しようとする場合でも、解読することが難しくなります。だが驚くべきことに、「ブルートフォースアタック」というアルゴリズムを使うと、長さ７文字のパスワードがわずか1/3秒足らずで解読できてしまうのです。

ヒント

　・パスワードは少なくとも12文字以上で、数字、記号、大文字、小文字を含むものにしましょう。　・ゼロを”O “に、@を”A “のようにするなど、数字や記号を文字に置き換えてみましょう。　・もし、IPカメラや対話型スピーカーなど、インターネットに接続されたデバイスを使用している場合は、初期設定を独自のものに変更しましょう。これはハッカーたちはメーカーの初期設定のパスワードを知っていることが多いためです。

個人を特定できないようにする

名前や住所、ペットの名前など、個人情報の断片が含まれているパスワードは、簡単に推測されやすいです。オンラインでたくさんの個人情報を共有している場合はなおさらです。しかし、個人的な好みを利用すれば、個人情報から推測できない強力なパスフレーズを作成することができます。

ヒント

　・パスワードを数字や記号をランダムに使ったものにしてみるのも良いでしょう。例えば、もし犯罪小説が好きな場合は、「ILoveBooksOnCrime」というフレーズにしてみたとします。そして、1L0VEBook$oNcRIM3! といった具合に、いくつかの文字を数字や記号に置き換えたり、一部を全角にすることによって、さらに強固なパスワードが出来上がるでしょう。　・もし、セキュリティ対策用の質問を設定する際に、個人情報を使用する必要がある場合は、オンライン上で簡単に見つけられないような答えにしましょう。　・すべてのパスワードとパスフレーズを非公開にしましょう。

パスワードは再利用しない

もし、パスワードを再利用してしまって、見知らぬ何者かにあるアカウントのパスワードを推測されてしまった場合、そのパスワードを使って他のアカウントにも侵入されてしまう可能性があります。ここ数年、このような手口での企業のデータ漏洩事件が数多く起きており、だんだん危険度が高まっています。たった一度のハッキングによって、サイバー犯罪者達は何千ものパスワードを手に入れて、それを使って多数のアカウントにアクセスしようとすることができてしまうのです。

ヒント

　・たとえ個人情報がほとんどわからないアカウントであっても、それぞれのアカウントに独自のパスワードを設定しましょう。もし、より機密性が高いアカウントで同じパスワードを使用している場合、それらのアカウントも危険にさらされてしまいかねません。　・もし、ウェブサイトや監視サービスから個人情報が流出した可能性があると警告された場合は、速やかにパスワードを変更しましょう。

パスワードマネージャーを利用する

複雑なパスワードを作成し管理することが苦手な方は、パスワードマネージャーに作業を委託しましょう！アカウントマネージャーは、アカウントごとにランダムで複雑なパスワードを作成し、安全に保存できるソフトウェアプログラムです。これを利用することで、パスワードを覚えておく必要はなくなり、必要な際にはパスワードマネージャーを使用すれば、ログインすることができます。

ヒント

　・パスワードマネージャーを含んでいるセキュリティソフトを探す　・顔認証、指紋認証、パスワードのような複数の情報を使用して本人確認をする多要素認証を導入しているパスワードマネージャーを利用しましょう。

全体的なセキュリティを強化する

パスワードの安全性を確認したら、幅広く様々な危険から守ってくれる包括的なセキュリティソフトを導入しましょう。

ヒント

　・常にソフトウェアを最新の状態を保つように心がけてください。　・そして、間違ってフィッシングサイト内でパスワードを入力するのを防いでくれるウェブアドバイザーの利用を検討しましょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーなどを編集して紹介する記事です。