パスワードと上手に付き合う ~現実を見て防御を固めよう~ | |
---|---|
作成日時 22/09/27 (11:26) | View 3327 |
16億件のパスワードが闇サイトに?
“パスワード、16億件が流出”
2~3年前、国内の著名ビジネス誌が特集で採り上げたテーマです。企業の社員や官公庁の職員が仕事用のメールアドレスで登録したSNSやECサイトなどに、攻撃者が不正侵入してパスワードを窃取。メールアドレスとパスワードの組合せを、ダークウェブ(通常の通信方式ではアクセスできない闇サイト)などに登録していった結果、その数は16億まで膨らんだとされています。
発表された当時、16億という数字自体は懐疑的に見る情報セキュリティの専門家も多かったのですが、誰もが知る著名な日本企業と公的機関も多く含まれ、S社17,695件、T社10,635件などと、細かな件数までセットになったリストは、大きなインパクトを与えたことは確かです。
同じ頃、アイドルグループ SDN48の元メンバーのタレントが公開情報からパスワードを推測され、複数のSNSやショッピングサイトに不正アクセスを受けた被害を証言していました。容疑者は神奈川県警に逮捕されましたが、100人以上の芸能人のアカウントに不正アクセスを繰り返していたとされています。
社会的関心は高まるも漏えいは鎮静化せず
“16億のパスワード流出”はビジネス社会、そして芸能界での被害は、若年層にもパスワードの重要性をアピールすることになり、この時期はアカウント管理に対する社会的関心も高まりました。しかし、その後もメールアドレスとログインID、それに紐付くパスワードの流出事件・事故が鎮静化する兆しはありません。
ここ2~3カ月の間に表に出た大きな事故だけを採り上げても、2022年6月にCD販売を手がけるオンラインショップから、メールアドレスとパスワードなど最大70万件の個人情報が流出した可能性があること、同年8月にもアパレル系のECサイトから、クレジットカード情報とログインID、それに対応したパスワードなど、約2万件の個人情報が流出した可能性があると発表されました。
流出したアカウント情報を追跡するイメージ Dark Tracer
ID/パスワードの流出は、誇張ではなく、毎週、毎日のように伝えられるため、情報を受け止める側の感度も鈍くなってしまっている点は否めません。そこで次の項では、パスワードの構造的な課題や流出のリスク、漏えい対策の現状をおさらいしましょう。
克服が難しいパスワードの弱点
情報システムに最初にパスワードが使われたのは1960年代とされていますが、変化が激しいコンピュータの分野で、これだけ長期にわたって使われ続ける技術・手法はあまりないと言っていいです。その反面、パスワードが持つリスク、構造的な課題も、内包したままになっています。パスワードの弱点は、以下の2点に集約できます。
・ユーザーの記憶に頼る
・システム側で認証情報を保持
記憶に頼るやり方の問題点は、複雑な文字列にすると覚えきれませんから、単純なパスワードを使ってしまいがちです。会社名と部署名の組合せや名前と年齢、電話番号など、第三者がSNSなどの公開情報から推測しやすいパスワードを使ってしまう人も少なくないでしょう。冒頭で触れた元SDN48のタレントが被害を受けた原因もこのパターンでした。
複雑な文字列を設定しても、メールなどで偽サイトに誘導し、パスワードを入力させる「フィッシング攻撃」による漏えいは防げません。また複雑なパスワードを設定しても、複数のサイトで使い回してしまうと、同じパスワードで複数のサービスへのログインを試みる「パスワードリスト攻撃」の餌食になってしまうという問題も出てきます。
システム側で認証情報を保持する方式は、パスワードの構造的な弱点です。システムは正しいパスワードが入力されたら本人と見なしますから、なりすましができてしまうのです。さらに大きな問題は、Webサイトの脆弱性を突かれるなどの原因で、保存してあるアカウント情報がごっそり抜き取られ、ダークウェブのような空間に流出してしまうことです。
意味のないパスワードを使っていませんか?
パスワードの盗用を防ぐ方法として周知されているのは、一定以上の長さを保ち、類推できない複雑な文字列にすること、サービスごとにパスワードを変更し、使い回しはしないこと。皆さまもこれらの点は、システム管理や総務などの部門からレクチャーを受けていると思いますが、徹底はなかなか難しいようです。業界団体や調査会社が発表するレポートを総合すると、5人に2人程度は基本ルールを守りきれず、簡単な文字列で設定、使い回すなどの実態があるようです。
ちなみに、もっとも使われているパスワードはご存じでしょうか?
パナマのセキュリティ企業が2022年の春に発表した報告によると、2021年に世界で一番使われたパスワードは“123456”。“123456789”“12345”“qwerty(キーボードの文字配列)”“password”などが続きます。
一方、トルコの研究者が「GitHub」というソフトウェア関連の情報共有サイトで発表した、10億件の流出パスワードを分析したというレポートでも、“123456”が不動の1位。“12345”“qwerty”“password”など、上位の顔ぶれはほぼ同じでした。国内企業が実施したいくつかの調査結果を見ると、日本人の傾向も同様ですが、“sakura”やトヨタなどの人気車種がランクインする点が特徴と言えそうです。
誰かのパスワードを盗用したければ、まずこれらをトライすること。自身のアカウントを守りたいなら、絶対に“123456”や“password”は使ってはいけません。もちろん、上位に入っていないとしても、辞書にある単語の組合せは推測しやすく、著名な映画の作品名、アニメのキャラクタ名などもNGです。
前述したトルコの研究者の報告によると、出現頻度が高い上位1,000パスワードだけで全体の約6.6%、上位100万まで拡げると、全パスワードの約36.3%を占めました。こうしたデータからリストを作って、「辞書攻撃」(辞書に載るような意味のある単語を組合せて侵入を試みる手口)の要領で攻撃すれば、かなり高い確率で認証を突破できてしまうでしょう。
多要素認証とパスワード管理ツールの導入も進む
パスワード認証の強化に向け、対策も進んできました。代表的な手法として、「多要素認証」があります。認証要素として、パスワードのような知識情報と、USBメモリやICカードなど物理的なツールを使う所持情報、そして指紋や顔などの生体情報を使う方法がありますが、多要素認証はそのうち2要素以上を組み合わせて認証する方式です。
安全なパスワードの運用方法として、パスワード管理ソフトの利用も一案です。いろいろな製品が出ていますが、代表的な機能は、ソフトをインストールした端末で、あるサービスのID、パスワードを入力すると、ソフトがその情報を記録。その後のサービスへのアクセス時は、パスワード入力なしで利用できるようにするものです(ユーザーは管理ソフトの起動時などに使う「マスターパスワード」だけを管理)。
クラウドからIDを一括管理する「IDaaS(ID as a Service)」という認証連携サービスも使われています。ユーザーがクラウドサービスを使う際、まずログインIDでIDaaSにアクセス。ここでパスワードと生体情報など、必要な認証情報を伝えると、登録したサービスはその都度のパスワード入力なしで、より平易、より安全に利用できるという仕組みです。
パスワードレスも見えてきた
もう一歩進んだ方式として期待されているのが、パスワードレスを指向するFIDO(Fast IDentify Online:ファイド)です。FIDOも多要素認証の一種ですが、一般的な認証方式との違いは、サービス側に認証情報の送信はしないこと。PCやスマートフォンなど、本人のデバイスで認証を行い、確認できた場合だけ、その事実を示すデータを電子証明書付きでサービスに伝えます。
この方式で稼動するサービスは、システム側に認証情報がないため、情報漏えいのリスクもありません。PCやスマートフォンで認証するときは、パスワードやPIN(Personal Identification Number:暗証番号)を使いますが、この時点で所持情報と知識情報を併用する多要素認証が行われるこことになります。そしてデバイスでの認証時に、指紋などの生体認証を使えば完全パスワードレスも実現するというわけです。
国内でもFIDO対応のサービスは少しずつ増えてきました。例えば、マイクロソフト社は、法人向けに提供してきた生体認証を使ってパスワードレスで同社のサービスにアクセスできる「Windows Hello」の機能を、2021年からは個人ユーザーにも開放しています。Yahoo! Japanなども、スマートフォンの生体認証機能を利用して、パスワードレスでサービスが利用できる体制を整えています。
当面は二段構えの行動を
今後は多要素認証に代表されるパスワードのリスクを軽減する方式が一般化し、パスワードレスも進展していくことが期待されます。ただ、誰もが望む情報サービスの形だとしても、社会に浸透するまでにはもう少し時間がかかるはずです。多要素認証やIDaaS、FIDOにも課題がないわけではありません。新しい方式に対応するには、まず導入と運用にかかるコスト、運用体制の整備という壁があります。
企業の情報システムは、大企業を中心に多要素認証の導入が進んでいますが、一般サイト/サービスの多くは今でもパスワード認証です。既存のパスワード方式には、特別なハードウェアの導入が不要で、運用にかかる負荷も小さいという利点があり、これまで半世紀にわたって使われてきたIDとパスワードによる認証方式が、短期間に一掃されることはないでしょう。
情報システムを利用するすべての企業は、パスワード管理の徹底と定期的な更新、システムへのログイン認証の強化、それでもアカウント情報が流出した時には迅速にパスワードの変更と流出経路への対処を行うなど、できる限りの手を尽くして不正利用を防ぐ必要があります。
そして今後はユーザー認証の強化とパスワードレスという新しい段階に向けて対応を進め、巧妙化して増加する脅威に対応していくことが求められるでしょう。