では、どうしたらいいんだろう?
メールアドレス側のセキュリティを考えた場合、ユーザーにできることは、2段階認証を採用しているサービスの利用、そしてパスワードの使い回しをしないことだ。加えて、リマインダー(いわゆる“秘密の質問”)を信用しないこと、OSを常に最新の状態に保つこと、さらにセキュリティソフトのインストールだ。1つずつチェックしていこう。
・2段階認証を採用するメールサービスを使う
これはグーグルのGmailが最もわかりやすいだろうし、サブメールアドレスの生成のしやすさから、いくつものタイトルを遊ぶユーザーは愛用しているのはでないだろうか。
新規ハードからのインストールの場合は、指定のメールアドレスに対してトークンを送信する。またはメイン環境からログインしてのワンショットパスワードの配布によって認証するというものだ。
物理的に異なるデバイスへの送信、たとえば、新しいノートPCでログインするために、スマホでトークンを受信という形であれば、大元のグーグルがアタックされて情報流出しない限りはまず安全だ。なお、物理的接触でデータを強奪されるケースに至る場合は、正直な話、オンラインゲームではまだレアケースだろう。
Googleの2段階認証。スマホでトークンを受信というやり方
・パスワードの使い回しをせず定期的に変更する
基本中の基本といえることだが、パスワードの使い回しは厳禁だ。PSO2の注意文『不正アクセスを防ぐため「パスワードの使いまわし」にご注意ください』は、ズバリこれを指している。
いくつもオンラインサービスやオンラインゲームに登録していると、複数のログインIDやパスワードを作成・記憶することが面倒になってくるため、ついつい覚えやすいものに統一してしまいがちだ。
しかしこれをやってしまうと、たとえば、あるオンラインサービスで情報漏洩があった場合、同じログインID・パスワードで登録していたすべてサービスも同様の危険にさらされてしまう。ログインIDが同一でなくても、メールアドレスが押さえられた時点で詰みに近い状況だと認識しよう。
マカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー 佐々木伸彦氏に伺ったところによると、ユーザー名が特定されている場合に行なわれるパスワード総当たり攻撃、いわゆる“ブルートフォースアタック”はPC(特にGPU)の性能向上に伴って容易になっており、現在では6文字のパスワードを破るまでに約17秒しかかからないという(解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間)。
パスワードクラックの現状
■パスワードは、攻撃を遅延させるための時間稼ぎにすぎない
■解読することは必ず可能(時間をかければ)
・パスワード解読にかかる最大時間(ワークファクタ)
(パスワードのパターン数=文字種類^文字数)÷解読マシンによる処理数
例)パスワードに利用可能な文字種類が「英大文字・英小文字・数字」の場合
・文字種類:62種類(英大文字26種類+英大文字36種類+数字10種類)
| 文字数 | パターン数 | 解読時間 |
|---|---|---|
| 6文字 | 56,800,235,584通り(約568億通り) | 約17秒 |
| 8文字 | 218,340,105,584,896通り(約218兆3401億通り) | 約18時間 |
| 9文字 | 13,537,086,546,263,552通り(約1京3537兆0865億通り) | 約48日 |
| 10文字 | 839,299,365,868,340,200通り(約83京9299兆3658億通り) | 約8年 |
※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。参考)「On the GPU, it takes less than a second at a rate of 3.3billion passwords per second.」http://www.zdnet.com/blog/hardware/cheap-qpus-are-rendering-strong-passwords-useless/13125
「サイバーセキュリティの脅威~ブルートフォース攻撃の脅威と対策」マカフィー株式会社サイバー戦略室(2013.04.19)より抜粋
また面白い話としては、佐々木氏曰く、パスワードに関しては定期変更推進論と定期変更不要論という2つの論があるそうだ。
定期変更はよく言われるセキュリティ保持方法だ。オンラインゲームでは前述の通り、パスワードを変更したユーザーにゲーム内アイテムをプレゼントするキャンペーンが張られるレベルで浸透している。
一方で、いくつもオンラインサービスに登録していると“面倒臭さ”が強くなり、最終的に覚えやすく堅牢ではないパスワードにしてしまいがちなことも事実。
定期変更は、不正侵入されるリスクがあるようなセキュリティレベルがあまり高くない環境においてはある程度の効力を発揮するが、ハードウェア・ソフトウェアともに劇的に進歩した今、パスワードを定期変更することは不正侵入の防止にはあまり効果がない、と言う。
そこで登場するのが、超堅牢パスワードを使う方法。こちらはブルートフォースアタックにはすこぶる強い。しかし、当然、いくつかのサービスで同じパスワードを使いまわしていると、サービス運営会社から情報が漏洩した場合、記事冒頭のリスト型アカウントハッキングに遭うという危険性をはらむ。
最も推奨されるのは、超堅牢パスワードをサービスごとに使い分ける方法だが、管理が煩雑になる可能性もあるため、「パスワードマネージャ」などのパスワード管理ソフトを利用し、安全にパスワードを管理・保管するのも賢明だ。
ただ、全サービスを1つのパスワードで賄うのではなく、いくつかのパスワードを併用する方法なので、イザというときにパスワード変更すべきサービスの数は少ないだろう。
GPUの性能向上に伴って、パスワードクラックにかかる時間は短縮の一途を辿っている。画像は最新GPUの「GeForce GTX TITAN」
またパスワードの保管についても、誰にも見せないのは当然として、自室であればメモに残すのはアリという論調もあるようだ。
もちろん、パスワード単体ではなく、関係のない文字の羅列などに混ぜてだが。これは単純に自宅に侵入でもされない限り、問題ないという観点からきているそう。なお、オフィスにパスワードを張り出しておくのは自殺行為だ。
堅牢なパスワードとは?
2011年のMcAfee Blogに興味深い記事がある。『パスワードを強化する7つのヒント』というエントリーで、そのなかでも「PC Mag」誌の調査によって判明した、最も一般的に使用されているパスワードの一覧がなかなか痛烈だ。
- password
- 123456
- qwerty
- letmein
- monkey
- myspace1
- password1
- link182
- (自分の名前)
上記は海外の例だが日本でもいくつか当てはまるものはあるだろう。このエントリーには堅牢なパスワードの作り方が記載されているので、参考にしてパスワードを考えてみるといいだろう。本来よりもだいぶ記事が長くなってしまったので、後編ではパスワードのみにしぼって紹介するつもりだ。
この連載の記事
- 第29回 2013年セキュリティ事件を振り返る:日本を狙ったマルウェアで被害が続発
- 第28回 7億円盗んだ「日本のオンラインバンキング専用」ウイルス
- 第27回 第6話:情報漏洩アプリを作ってもお咎めなし!?
- 第26回 アナタも国家組織に狙われている!具体的にはトイレで!
- 第25回 第5話:スマホの中身を合法(?)的にゲットせよ!?
- 第24回 「黒子は俺の嫁」から超堅牢パスワードを作ってみた
- 第22回 第4話:ボットネットは変態ゾンビの夢を見るか?
- 第21回 第3話:JKのスマホがゾンビ化で世界がヤバイ
- 第20回 魔法少女(物理)見参!第2話「その名はマカルージュ」
- 第19回 魔法少女も始めました!第1話「セキュリティ突破会議」
- この連載の一覧へ
