セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第5回のテーマは、「パスワード漏えい」です。「ブルートフォース攻撃」や「辞書攻撃」などの古典的な手法に加えて、「フィッシング」「盗聴」などあらゆる方法でパスワードを窃取しようとする攻撃者に対しては、どのような対策が有効なのでしょうか。さまざまな認証方式の紹介も含めて解説します。
先生、大変です! 私が使っているWebサービスで、身に覚えのないログイン履歴があります。
誰かにアカウントを乗っ取られているのかもしれません。
サイバー攻撃の対象として、最も狙われやすい情報の一つが「パスワード」です。パスワードを盗み出せば、攻撃者はユーザーに成り代わってさまざまな操作を行い、情報や金銭を窃取することができます。
パスワードを守る方法としては、「パスワードを定期的に変更する」「複雑なパスワードを設定する」といった対策が常識だと思っている方は多いでしょう。しかし、パスワードを定期的に変更しても、パスワードを盗まれれば、次に変更するまでの間はログインし放題になってしまいます。これは複雑なパスワードを設定していても同じです。
では、パスワードはどうやって盗まれるのでしょうか? 最も単純な方法は「盗み見」です。パスワードを入力しているところを、後ろを通った人が肩越しに見ていたら、簡単なパスワードであればすぐに覚えられてしまうかもしれません。
もう少し手間を掛ける方法としては、「ブルートフォース攻撃(総当たり攻撃)」や「辞書攻撃」などの解析手法があります。ブルートフォース攻撃とは、考えられる全てのパスワードを順番に試していく方法です。短いパスワードであれば、これだけですぐに見つけられてしまいます。辞書攻撃は、辞書に載っているような単語を順に試す方法です。辞書に載っているような言葉は覚えやすいため、パスワードに使っている人が多いのです。これらの方法は「一定回数パスワードを間違えるとアカウントがロックされる」ようなサービスには使えませんが、古くからあるパスワードの解析方法です。
私が使っているパスワードは複雑で長いパスワードですし、意味のある言葉でもありません。簡単には分からないはずです。
どこかからパスワードが流出する可能性もあります。
アルファベット、数字、記号を織り交ぜた複雑で長いパスワードを、ブルートフォース攻撃などで見つけ出すことは困難です。しかし、このようなパスワードでも、攻撃者に知られてしまうケースがあります。
例えば、前回の記事にも登場した「フィッシング詐欺」です。メールに記載されているリンクから攻撃者のサイトにアクセスし、IDやパスワードを入力してしまうと、その内容を盗み取られてしまいます。あるいは、Webサイトやメール経由でユーザーのPCをウイルスに感染させ、キー入力の記録を窃取するなどの方法もあります。
また、IDやパスワードの管理が適切でないサイトからの漏えいというケースもあります。通常、Webサービスではパスワードを暗号化して保存しますが、中にはパスワードを暗号化せずに保存しているずさんなサイトもあります。このようなサイトが攻撃を受けると、保存されているパスワードがそのまま流出してしまう可能性があります。
さらに、事例は少ないかもしれませんが、「盗聴」も流出経路の一つとして考えられます。IDやパスワードを入力するサイトとの通信が暗号化されていない場合、通信経路の途中で通信内容を誰かに盗聴され、パスワードを知られてしまうことがあります。
次ページから、パスワード入手後の攻撃者の行動について解説します。
Copyright © ITmedia, Inc. All Rights Reserved.