パスワードを狙った攻撃に注意 脆弱なパスワードは今すぐに変更を

セキュリティにおいて、パスワードの重要性は言うまでもありません。しかし、私たちがパスワードを設定する際には、その桁数や複雑さ、ランダム性などに十分な注意を払う必要があります。なぜなら、適切に設定されていないパスワードは容易に突破され、情報漏えいを防止することができないからです。

このコラムでは、容易に予測可能な脆弱なパスワードの危険性について解説し、それを悪用した攻撃手法とそれに対する対策を紹介しています。パスワードに関わるリスクについて正しく認識することで、読者の皆様が自身や所属する組織のパスワードを見直す機会となれば幸いです。

2022年、日本で最も使われたパスワードとは

2022年11月15日、リトアニアのセキュリティ企業Nord Securityは、2022年に最も使われたパスワードのランキングを発表しました。※1

世界日本
1位password123456
2位123456password
3位1234567891234
4位guest12345678
5位qwertyakubisa2020
6位12345678xxxxxx
7位111111sakura
8位12345303030
9位col12345612345
10位123123123456789

依然として、「123456」や「password」などの簡単なパスワードが多くの人々によって使用されていることがよくわかります。この記事を見ている方にも、ランクインしているパスワードを使用している方がいるのではないでしょうか。

これらのパスワードはハッカーにとって容易なターゲットであり、短時間で解読される可能性が高いです。また、個人の情報や興味関心から予測されるパスワードも危険です。例えば、誕生日や名前など、容易に入手可能な情報を使用したパスワードは、悪意のある攻撃者によって簡単に特定されます。

予測しやすいパスワードを避けるために、十分な桁数と複雑さが必要です。例えば、 2023年1月に内閣サイバーセキュリティセンター(NISC)が公表した「インターネットの安全・安心ハンドブック Ver5.00 ※2」では、 ログイン用パスワードは10桁以上、英大文字小文字の組み合わせ、数字、記号などを含むようにすることを推奨しています。なお、JPERT/CCでは推奨の桁数を12桁以上としています ※3。また、誕生日や名前、辞書に存在するような意味のある文字列は後述の辞書攻撃による突破される可能性があるため、避けるべきです。「P@ssw0rd!」などのように一部改変していても不十分です。基本的にパスワードはランダム生成されたものを使うことをお奨めします。

また、パスワードの定期変更の是非について、過去にはパスワードの定期的な変更が推奨されていましたが、前述のハンドブックでは、十分に複雑で使い回しのないパスワードを設定している場合、基本的にパスワードを変更する必要はないとし、むしろ定期変更することでパスワードが単純化したり、ワンパターン化したり、使い回しされるようになることの方が問題であると記載されています。ただし、パスワードが流出したとわかった場合は速やかに変更する必要があります。

しかし、このような 十分に複雑でランダムなパスワードを様々なサービスごとに設定するのは非常に手間が掛かります。そのため、ついパスワードを使い回している方も多いのではないでしょうか。

脆弱なパスワードを使用することで想定されるセキュリティリスク

パスワード使い回しによるリスク

しかし、同じパスワードを複数のアカウントで使用することは、深刻なセキュリティリスクをもたらします。もし1つのアカウントが突破されれば、他のアカウントにも同じパスワードでログインできてしまうため、攻撃者はこれを悪用し、一度の攻撃で複数のアカウントに不正なアクセスを行うことができます。また、ユーザー名とパスワードの組み合わせが他のサイトで流出した場合、それを悪用される可能性もあります。(参考:87,000台のVPN装置の認証情報が流出 求められるサイバー攻撃への備え

このような事態を防ぐためには、やはり異なるサービスのアカウント毎に別々のパスワードを使用するべきでしょう。例えば、パスワードマネージャーを活用することで、複雑なパスワードの作成と管理が容易になります。パスワードマネージャーは、異なるサイトやアプリのパスワードを自動的に記憶し、一元管理する機能を提供します。

ブルートフォース攻撃

ブルートフォース攻撃は、自動化ツールを使用して、大量のパスワードの組み合わせを順番に試行し、正しいパスワードを見つける手法です。弱いパスワードを使用している場合、相対的に短時間で侵入される可能性が高まります。これに対策するためには、やはり十分なパスワードの桁数と複雑さが必要です。また、アカウントへのログイン試行回数を制限することで、ブルートフォース攻撃を防止できます。一定回数のログイン試行が失敗した場合、アカウントがロックアウトされるように設定しましょう。

辞書攻撃

辞書攻撃は、ハッカーが辞書や一般的な単語リストを使用してパスワードを試す手法です。ユーザーが予測しやすい単語や一般的なフレーズをパスワードとして使用している場合、辞書攻撃によって相対的に容易に解読される可能性が高まります。対応策としては、辞書中に存在しないランダムな単語やフレーズを使用しましょう。また、単語の代わりに記号や数字を組み合わせることも有効です。なお、前述のブルートフォース攻撃と辞書攻撃を組み合わせたハイブリットの攻撃も存在するので注意が必要です。

パスワードスプレー攻撃

パスワードスプレー攻撃では、攻撃者が前述のランキングにあるような一般的によく使われているパスワード( “password123″や”123456″など)を複数のアカウントに対して試行する攻撃です。ユーザーが予測しやすいパスワードを使用している場合、この攻撃は効果を発揮します。

これらの攻撃手法は、弱いパスワードを標的にしており、多くの場合、自動化ツールや高速な処理能力を利用して行われます。これらの攻撃から身を守るためには、強力なパスワードを使用し、使い回しを避け、セキュリティ対策を講じることが重要です。また、多要素認証を有効にすることで、パスワードに加えて別の認証方法が必要となり、セキュリティを強化することができます。

パスワードの設定では防ぎ切れない内部犯行による漏えい

本コラムでは一貫して、適切なパスワード設定をすることでセキュリティリスクに対策することの必要性を述べてきました。しかし、残念ながらパスワードの設定では対応できない脅威も存在します。それは、内部犯による不正な持ち出しのリスクです。

企業内関係者は自身が業務に関わっていることから、パスワードを既に知っており、正規のログイン権限を持っている可能性があります。この場合、多要素認証などのシステムを導入しても、正規にログインした後に管理領域からデータを抜き出してしまえばよいので、漏えいを防ぐことができません。(参考:岩手県釜石市、住民基本台帳に記載された全市民3万人超の個人情報漏洩

内部関係者による持ち出しはパスワード以外での対策が求められることに注意が必要です。

パスワードに頼らない利便性・安全性を両立したデータ・セキュリティとは

ここまでの話でパスワード設定の必要性と、逆にパスワードでは対応できないリスクの存在についてご理解いただけたかと思います。しかしながら、適切なパスワード(一定以上の桁数+複雑性+ランダム性)を各アカウント毎に別々に設定し、それを定期的に変更しながら管理するというのは非常に大変です。

その点、弊社のファイル暗号化ソフト『DataClasys』は、パスワード付きZipファイルなどと異なり、パスワードを必要としない暗号化システムです。パスワードではなく、鍵はサーバ側で一元管理されており、ファイルにアクセスする度にサーバ側へ認証を行い、権限を持っていれば鍵が配信されるシステムとなっています。

またDataClasysはファイル利用の権限を細かく設定できることから、パスワードと異なり、内部犯による持ち出しにも対応することが可能です。

詳しい内容にご興味のある方は是非下記から資料をダウンロード下さい。

参考

※1 Top 200 most common passwords | Nord Security 2022年11月15日

※2 インターネットの安心・安全ハンドブック | 内閣サイバーセキュリティセンター 2023年1月31日

※3 STOP! パスワード使い回し! | JPCERT/CC 2020年8月6日