2018年5月4日、Twitterの不具合で利用者のパスワードが誤って内部ログに露出するという不具合が発生しました(Livedoorニュース)。

現時点では、そのパスワードが外部に流出したというニュースはありませんが、もし外部に流れてしまうと大変なことになってしまいます。

 

とある企業のセキュリティ担当に参加している僕が、パスワードが流出してしまうとどのようなことが起こってしまうかを解説したいと思います。

 


スポンサーリンク

不正アクセス方法

まずは、パスワードが漏洩した/していないに関係なく、攻撃者がどのように不正アクセスを行おうとするか、代表的なものを挙げてみたいと思います。
※不正アクセスをする人、情報を抜き取る人など、悪い人を総称して以下「攻撃者」と言います。

 

総当たり攻撃(ブルートフォースアタック)

考えられるパスワードをすべて試すやり方です。例えば、銀行のキャッシュカードだと、やろうと思えば人間でも可能です。銀行のキャッシュカードは0000~9999のわずか1万通りしかありませんので、1万回試せば必ず成功します。

 

辞書攻撃

上記の総当たり攻撃の時間短縮を図るための攻撃手法です。

「人間が思いつくパスワードは、意味のある言葉が多い」という考えのもと、辞書に載っている単語から順番に攻撃していきます。

 

逆総当たり攻撃(リバースブルートフォースアタック)

先ほどの総当たり攻撃は、「1つのIDに対し、複数のパスワードを試す」というやり方でした。
一方、逆総当たり攻撃は、「複数のIDに対し、1つのパスワードを試す」というやり方です。

この手法の怖いところは、「パスワードロックが効かない」というところです。なぜなら、1つのIDに対しては1回しかログインしようとしてないからです。

 

パスワードリスト攻撃

何らかの方法で入手できた、あるサイトAのIDおよびパスワードを、別のサイトBでも利用する、という攻撃です。

「IDとパスワードを、多くのサイトで使いまわしている人が多い」という考えから行われる攻撃です。

 

ジョーアカウント攻撃

IDとパスワードを全く同じものにしてログインしようとする攻撃です。「パスワードを設定するのが面倒だからIDと同じでいい」と考えた人を狙う攻撃です。

 

 

 

その他、ウィルスを送って情報を抜き取る、偽のサイトに誘導して情報を入力させる、という攻撃もあります。

 

パスワードが流出するとどうなってしまうか

まずは、「逆総当たり攻撃」を仕掛けられると思います。パスワード自体は合っていることになるので、当てはまるIDを試すことになります。

このIDですが、Twitterからは丸見えなので、大変危険です。

もしくは、「ジョーアカウント攻撃」を仕掛けられます。入手したパスワードをID・パスワード欄に入力するだけで簡単に突破されます。

 

このようにして突破されると、次にパスワードリスト攻撃の対象になってしまいます。Twitter自体はクレジットカードなどの情報を含みませんが、「IDとパスワード」も重要な情報になってしまいます。これを利用してAmazonなどにログインできてしまうと、金融情報を抜き取られます。

また、電話番号やメールアドレスを登録している人は、それも入手されて悪用されてしまいます。

そのため、ニュースにもあるように、パスワードはすぐに変更してください。

 

パスワードをどのように変えるか

以上の理由により、パスワードを変更する必要がありますが、このような変更はNGです。

・既存のパスワードに文字を付け足すだけ
・別のサイトからの使いまわし
・パスワードが短い

攻撃者は良くも悪くも頭がいいので、「どうせ後ろに何文字か付け足すだけだろ」と、我々の考えなどすぐに見抜きます。そのため、覚えるのが大変でも、すべて変えてしまったほうがいいです。

また、「パスワードリスト攻撃に利用される可能性がある」という理由で、別サイトからの使いまわしも推奨されません。

パスワードが短いのもNGですが、注意したいのは、「8文字は短い」ことです。

 

パスワードとしてよく用いられる「アルファベット+数字 合計8桁」の組み合わせは、2012年時点で13.5時間で突破されます。
また、記号を含めても14日で突破されます。

出典:セキュリティ調査レポートVol.3パスワードの最大解読時間測定 【暗号強度別】

「2012年時点で」と強調していますが、コンピュータやIT技術は日単位でどんどん進歩しています。正確な数字は分かりませんでしたが、おそらく、今時点では一瞬で突破されるでしょう。

記号を含めて10文字であれば、おそらく、現時点でも年単位で時間がかかると思うので、「10文字以上」をおすすめします。

 

補足1:定期的なパスワード変更は意味がない

かつて、さまざまなサイトで、長期間パスワードを変更していないと定期的な変更が求められました。

しかし2018年、総務省は「定期的なパスワード変更は不要」との見解を出しました。

「既存のパスワードに文字を付け足すだけ」でも書いたように、定期的なパスワード変更を促したところで、どうせ我々は申し訳程度に1~2文字変えるだけです。

それであれば、最初から強固なパスワードを設定しましょう。

 

補足2:複雑なパスワードを覚えるには

「他人には意味のない記号の羅列でも、自分にとっては意味のあるもの」にすれば覚えやすいです。

例えば、「はるずふぇりす」は7文字ですが、暗号表を作り、それぞれの文字を別の文字に置き換えます。よく使われるものは、「a→@」ですが、自分オリジナルの対応リストを作れば、覚えやすく強固なものになるのではないでしょうか?
なお、「はるずふぇりす」の場合は、”hals-felice”と英語ベースにするよりは、”haruzu-ferisu”とローマ字表記ベースのほうが、辞書に載っていないので強いです。”appuru”や”shu-tingusuta-“のような感じです。

 

補足3:秘密の質問の覚え方

Twitterにはありませんが、「秘密の質問」について。

よくあるのが、「父親の誕生日は?」
正しいものを入力しているにもかかわらず、「違います」…

これにもコツがあります。「第二パスワード」を入力してしまいます。

つまり、質問内容を一切無視して、適当な「秘密の質問用パスワード」を入力します。

これは不正アクセス防止にも効果的です。なぜなら、普通は「父親の誕生日は?」と聞かれたら、日付を入力するからです。

日付以外の文字列が入力されていることで、解析までの時間を大幅に伸ばすことができます。

※以上のことは、今日には無効になっているかもしれません。ITの進歩は早いので。あくまで参考程度でお願いします。

 

 

Twitter自体には金融情報が登録されていなくても、一旦パスワードが流出することによりさまざまな二次被害が考えられます。これを機会に、強固なパスワードへの見直しをするのはいかがでしょうか。



スポンサーリンク


Facebook いいね!お願いします



気に入っていただけたら、フォローをお願いします