ユーザー名と同じ安易なパスワードを撲滅せよ！ 〜危険なパスワード調査編〜：ツールを使ってネットワーク管理（6）（4/4 ページ）

[山本洋介，＠IT]

ユーザーにパスワードの変更は許可するべきか

　ここでは、何が何でもパスワードを見つけるということではなく、単純なパスワードを探し出すのが目的ですので、律子さんはシングルモードで検査してみることにします。

　簡単にクラックしてみたのですが、ユーザー名＝パスワードのような自分が覚えやすいパスワードを設定している人がどんどん見つかりました。ああ、予想どおりうちの会社には手抜きが好きな人が多いんだ。律子さんは悲しくなってきましたが、こうしている間にも攻撃者が誰かのパスワードを解読しているかもしれません。

　このような人たちがパスワードを分かりにくいものに変更するとは律子さんには思えませんが、急いでそういった簡単なパスワードを設定している人たちに至急パスワードを変更するようメールを送りました。そして、部長に簡単なパスワードを設定したユーザーを呼び出して説教してもらうことにします。

　パスワードを忘れられることも困ったものですが、簡単にされることはもっと困ったものです。やはりユーザーにパスワードの変更は許可するべきでないのかなあと悩む律子さんでした。

＜ちょっと解説＞　John the Ripper

　パスワードをユーザーが自由に設定できるようにしていると、ユーザーは自分が覚えやすいパスワードを設定しがちです。覚えやすい＝簡単で攻撃者が簡単に暴くことができるということにつながってしまい、知らない間にアカウントが攻撃者に奪取されさまざまな攻撃を受けてしまうことになり、組織が大きなダメージを負うことにつながります。

　OSやアプリケーションによってはパスワードポリシーを設定することで、安易なパスワードを設定できないようにすることが可能ですので、可能であればぜひとも設定したいものです。

　管理者がユーザーのアカウントを監査して脆弱なパスワードを発見するパスワードクラッカーを使えば、簡単に攻撃者に解読されてしまう弱いパスワードを設定されないようになります。もちろん自分の管理するネットワーク以外で行うのは犯罪行為となりますので慎重に行う必要があります。

　ここで紹介したJohn the Ripper以外にも、HydraやLC 5やCain & Abel、RainbowCrackなどのパスワードクラッカーが存在します。ツールにより得意な暗号方式や解析方法などがありますので、ほかのものも使ってみてください。

「次回」へ

「ツールを使ってネットワーク管理」バックナンバー

• サーバのリモートバックアップをさせたい　〜大容量になったハードディスクにバックアップ〜
• PC環境の移行。あなたならどうする？　〜イメージ作成ツールを使ってディスクごとお引っ越し〜
• WebサーバにFTPできないんですけど……　〜ファイル転送にはSCPやSFTPを使いましょう〜
• 安いホスティングに引っ越しって簡単にいうけど　〜リモートアクセスにはSSHを使いましょう〜
• 出張中のメール送信にご用心！　〜Outbound Port25 Blockingってなに？〜
• メールサーバがいっぱいですよ、と警告されたら　〜サーバのディスク管理〜
• サーバ異常をメールで知らせる統合監視ツール　〜OpManagerでの監視〜
• パスワード、記憶に頼っていて大丈夫？　〜パスワード作成と管理〜
• USBでコピーデータを家に持ち帰らせたくない　〜USBストレージ使用制限〜
• とにかく社内でWinnyの起動をやめさせたい　〜Windows制限とRetina Winny Monitor〜
• 情報漏洩防止のためにPC監視!?「WatchYourPC」　〜PtoP通信を止めるだけでなく〜
• そのメールはスパムか否か、振り分けを鍛える　〜スパムメール対策「POPFileのクライアント設定」〜
• 「POPFile」でスパムと無駄な時間は除去じゃ！　〜スパムメール対策「POPFileのインストール」〜
• いきなりナウでヤングなWebサイトの管理をしろといわれても……　〜Webサーバアクセスログ調査編〜
• ユーザー名と同じ安易なパスワードを撲滅せよ！　〜危険なパスワード調査編〜
• 俺の「パスワード：*****」って何でしたっけ？　〜アプリケーションのパスワード調査編〜
• OSやアプリケーションの箱がなくなっても大丈夫？　〜OSやアプリケーションのライセンス調査編〜
• 私用メールする子にお仕置きを〜コマンドラインの代わりツール編〜
• 勝手にネットにつないでるマシンを探せ！〜コマンドラインの代わりツール編〜
• 後輩のツール君曰く、コマンドはもう古い！？ 〜コマンドラインの代わりツール編〜