徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」：＠ITセキュリティセミナー

サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「＠ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。

[高橋睦美，＠IT]

EGセキュアソリューションズ 代表取締役の徳丸浩氏

　2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。

　複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twitterなど海外の大手Webサービスでも相次いで、パスワードが平文で保存されていることが明らかになった。

　EGセキュアソリューションズ 代表取締役の徳丸浩氏は「パスワードを平文ではなく、保護しなければならない理由は何かというと、実はそれほど自明ではない」と言う。同氏は「Webサービス運営者が知っておくべき“パスワード”の超基本」と題した特別講演を通じて、そのいきさつと適切なパスワード保護の在り方を説明した。

パスワードリスト攻撃によって顕在化したリスク

　実は、パスワードは適切に保護すべきという「常識」が広まったのは最近の話だ。10年ほど前までは、「単純なハッシュをかけて保存するのが主で、今のようにストレッチングやソルトといった処理を実施しているケースは少数派だった。というのも、日本では名前や住所、メールアドレスといった個人情報の保護が中心で、パスワード自体にはそんなに価値はないのではないか、ことさら保護する必要はないのではないかという考え方があった」と徳丸氏は説明した。

　だが、それでは済まないことがだんだん分かってきた。

　パスワードが盗ることができれば、アカウントを乗っ取り、そのユーザーの権限でさまざまなサービスを利用できる。例えば、Twitterで本人の振りをして良からぬことをつぶやかれてしまうと大きな影響が出ることは容易に推測できるだろう。

　もう一つの問題は、パスワードの使い回しだ。以前から、複数のサービスで同一のパスワードを使い回しているユーザーは多数いるのではないかと推測されていた。そして、2013年ごろから活発化した「パスワードリスト攻撃」によって、その懸念が現実であることが示されてしまったという。

　当初、パスワードリスト攻撃の目的は不明とされてきたが、パスワードリスト攻撃を行って検挙された容疑者の供述によって、金銭目的であることが明確になってきた。個人情報を閲覧できるだけではなく、クレジットカード情報を用いて買い物をしたり、ポイントを悪用したりするといった被害が生じている。

　「SQLインジェクション攻撃などでIDとパスワードのリストを入手して、他のサイトでもログインを試行すると、ある一定の確率で『当たる』。サイトによって確率はバラバラだが、0.1％から高いものでは10％を超えることもあり、総当たり攻撃と比べて非常に高い確率だ。これは攻撃者に取ってよだれの出るほど効率の良い攻撃だ。しかも脆弱（ぜいじゃく）性のないサイトにも攻撃できる」と徳丸氏は述べ、パスワードリスト攻撃のデモンストレーションを行った。

パスワードリスト攻撃とは（出典：EGセキュアソリューションズ）

　その上「今は、『パスワードを集めて売る人』『そのパスワードを使って攻撃する人』『ブロックされている海外からの攻撃のためにプロキシサーバを提供する人』という具合に、分業が非常に進んでいる」という。

パスワードにまつわる幾つかの誤解