このページの本文へ

まかふぃーぶはじめました ― 第23回

「やばいと思ったが、アカウントの使い回しを抑えきれなかった」

オンラインゲーマーよ!6文字パスワードは17秒で破られる

2013年06月08日 21時00分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

では、どうしたらいいんだろう?

 メールアドレス側のセキュリティを考えた場合、ユーザーにできることは、2段階認証を採用しているサービスの利用、そしてパスワードの使い回しをしないことだ。加えて、リマインダー(いわゆる“秘密の質問”)を信用しないこと、OSを常に最新の状態に保つこと、さらにセキュリティソフトのインストールだ。1つずつチェックしていこう。

・2段階認証を採用するメールサービスを使う
 これはグーグルのGmailが最もわかりやすいだろうし、サブメールアドレスの生成のしやすさから、いくつものタイトルを遊ぶユーザーは愛用しているのはでないだろうか。

 新規ハードからのインストールの場合は、指定のメールアドレスに対してトークンを送信する。またはメイン環境からログインしてのワンショットパスワードの配布によって認証するというものだ。

 物理的に異なるデバイスへの送信、たとえば、新しいノートPCでログインするために、スマホでトークンを受信という形であれば、大元のグーグルがアタックされて情報流出しない限りはまず安全だ。なお、物理的接触でデータを強奪されるケースに至る場合は、正直な話、オンラインゲームではまだレアケースだろう。

Googleの2段階認証。スマホでトークンを受信というやり方

・パスワードの使い回しをせず定期的に変更する
 基本中の基本といえることだが、パスワードの使い回しは厳禁だ。PSO2の注意文『不正アクセスを防ぐため「パスワードの使いまわし」にご注意ください』は、ズバリこれを指している。

 いくつもオンラインサービスやオンラインゲームに登録していると、複数のログインIDやパスワードを作成・記憶することが面倒になってくるため、ついつい覚えやすいものに統一してしまいがちだ。

 しかしこれをやってしまうと、たとえば、あるオンラインサービスで情報漏洩があった場合、同じログインID・パスワードで登録していたすべてサービスも同様の危険にさらされてしまう。ログインIDが同一でなくても、メールアドレスが押さえられた時点で詰みに近い状況だと認識しよう。

 マカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー 佐々木伸彦氏に伺ったところによると、ユーザー名が特定されている場合に行なわれるパスワード総当たり攻撃、いわゆる“ブルートフォースアタック”はPC(特にGPU)の性能向上に伴って容易になっており、現在では6文字のパスワードを破るまでに約17秒しかかからないという(解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間)。

パスワードクラックの現状

■パスワードは、攻撃を遅延させるための時間稼ぎにすぎない
■解読することは必ず可能(時間をかければ)

・パスワード解読にかかる最大時間(ワークファクタ)
(パスワードのパターン数=文字種類^文字数)÷解読マシンによる処理数

 例)パスワードに利用可能な文字種類が「英大文字・英小文字・数字」の場合
  ・文字種類:62種類(英大文字26種類+英大文字36種類+数字10種類)

文字数 パターン数 解読時間
6文字 56,800,235,584通り(約568億通り) 約17秒
8文字 218,340,105,584,896通り(約218兆3401億通り) 約18時間
9文字 13,537,086,546,263,552通り(約1京3537兆0865億通り) 約48日
10文字 839,299,365,868,340,200通り(約83京9299兆3658億通り) 約8年

※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。参考)「On the GPU, it takes less than a second at a rate of 3.3billion passwords per second.」http://www.zdnet.com/blog/hardware/cheap-qpus-are-rendering-strong-passwords-useless/13125
「サイバーセキュリティの脅威~ブルートフォース攻撃の脅威と対策」マカフィー株式会社サイバー戦略室(2013.04.19)より抜粋

 また面白い話としては、佐々木氏曰く、パスワードに関しては定期変更推進論と定期変更不要論という2つの論があるそうだ。

 定期変更はよく言われるセキュリティ保持方法だ。オンラインゲームでは前述の通り、パスワードを変更したユーザーにゲーム内アイテムをプレゼントするキャンペーンが張られるレベルで浸透している。

 一方で、いくつもオンラインサービスに登録していると“面倒臭さ”が強くなり、最終的に覚えやすく堅牢ではないパスワードにしてしまいがちなことも事実。

 定期変更は、不正侵入されるリスクがあるようなセキュリティレベルがあまり高くない環境においてはある程度の効力を発揮するが、ハードウェア・ソフトウェアともに劇的に進歩した今、パスワードを定期変更することは不正侵入の防止にはあまり効果がない、と言う。

 そこで登場するのが、超堅牢パスワードを使う方法。こちらはブルートフォースアタックにはすこぶる強い。しかし、当然、いくつかのサービスで同じパスワードを使いまわしていると、サービス運営会社から情報が漏洩した場合、記事冒頭のリスト型アカウントハッキングに遭うという危険性をはらむ。

 最も推奨されるのは、超堅牢パスワードをサービスごとに使い分ける方法だが、管理が煩雑になる可能性もあるため、「パスワードマネージャ」などのパスワード管理ソフトを利用し、安全にパスワードを管理・保管するのも賢明だ。

 ただ、全サービスを1つのパスワードで賄うのではなく、いくつかのパスワードを併用する方法なので、イザというときにパスワード変更すべきサービスの数は少ないだろう。

GPUの性能向上に伴って、パスワードクラックにかかる時間は短縮の一途を辿っている。画像は最新GPUの「GeForce GTX TITAN」

 またパスワードの保管についても、誰にも見せないのは当然として、自室であればメモに残すのはアリという論調もあるようだ。

 もちろん、パスワード単体ではなく、関係のない文字の羅列などに混ぜてだが。これは単純に自宅に侵入でもされない限り、問題ないという観点からきているそう。なお、オフィスにパスワードを張り出しておくのは自殺行為だ。

堅牢なパスワードとは?

 2011年のMcAfee Blogに興味深い記事がある。『パスワードを強化する7つのヒント』というエントリーで、そのなかでも「PC Mag」誌の調査によって判明した、最も一般的に使用されているパスワードの一覧がなかなか痛烈だ。

  • password
  • 123456
  • qwerty
  • letmein
  • monkey
  • myspace1
  • password1
  • link182
  • (自分の名前)

 上記は海外の例だが日本でもいくつか当てはまるものはあるだろう。このエントリーには堅牢なパスワードの作り方が記載されているので、参考にしてパスワードを考えてみるといいだろう。本来よりもだいぶ記事が長くなってしまったので、後編ではパスワードのみにしぼって紹介するつもりだ。

この連載の記事
せきゅラボの全貌がわかるムービー公開中!

McAfeeウイルス駆除サービスバナー

McAfeeウイルス被害疑似体験サイトバナー

「ドコモ あんしんナンバー チェック」のサービス提供対象やご利用方法などの詳細はNTTドコモのウェブサイトをご覧ください。

スマートフォンから PCなどから