POQA magazinePOQAがお届けするITお役立ち情報
皆さんは、正しいパスワードの設定と管理を実行していますか?
いきなりですが、質問です。
Q:もし、数字だけ11文字のパスワードを利用している場合、現代のツールでは、これの解析にどれくらいの時間がかかるでしょうか?
AIでパスワード解析をする実験
2023年、アメリカのサイバーセキュリティ企業「Home Security Heroes」はニューラルネットワークでパスワード予測を行うAI「PassGAN」を利用して、実際のパスワードの解析をする実験を行いました。
この実験では、実際にあるソーシャルゲームサイトから流出した1568万件のパスワードから、4文字以上18文字以下のパスワードだけピックアップしたうえで、解析を行いました。
結果、
1分 … 全体の51%
1時間 … 全体の65%
1か月以内 … 全体の81%
が解析されてしまったとのことでした。
ゲームのログインアカウント/パスワードではありますが、昨今はクレジットカード情報と紐づいていることもままあり、決して軽視して良いものではありません。
攻撃手法の種類
では、どのようなパスワードにすれば安全だと言えるのでしょうか?
「安全なパスワード」を理解するためには、現実に使われている攻撃手法と、その攻撃手法で解析されてしまうパスワードの類型を理解しなければいけません。
・辞書攻撃
解析されるパスワード:実存する単語をパスワードに含んでいるもの
実存する単語を組み合わせて、パスワードの解析する手法です。
また、個人情報(誕生日や住所地)などは、知らず知らずのうちに流出してしまっているものです。
それらの情報を組みあわせているパスワードも、脆弱だといえます。
・パスワードリスト攻撃
解析されるパスワード:使いまわしているもの
攻撃者は、アカウントとパスワードの正しい組み合わせを手に入れると、それを使って他のサービスも利用できないか試します。
そのため、パスワードの使いまわしをしている場合、芋づる式にすべてのサービスが攻撃されてしまいます。
2023年夏には、日本の大手衣料品会社のECサイトが、この手法で攻撃誰、46万件強の顧客情報が閲覧された可能性がある、と報じています。
また、2023年8月のトレンドマイクロの発表によると、約84%が、パスワードを使いまわしている、という調査結果が出ています。
・ブルートフォース攻撃(総当たり攻撃)
解析されるパスワード:短い/文字種が限られている
ありとあらゆる文字列を総当たりで確認する方法です。
文字列が短ければ短いほど、文字種が少なければ少ないほど、パスワードは早く解析されてしまいます。
・フィッシング攻撃/マルウェア攻撃
攻撃者は、被害者をだまして機密情報を提供させようとします。
昨今の場合、架空の宅配業者を装ったメールを被害者に送り、そこにアカウント/パスワード情報の他、個人情報を入力させ、情報を詐取する事例があります。
一部のパスワードが流出したことにより、パスワードリスト攻撃につながります。
どのようなパスワードを設定すべきか
前項に記載した攻撃を防ぐためには、
・意味のある文字列(自分の個人情報にまつわる文字)を使わず
・使いまわさず
・一定以上の文字数、文字種を使う
必要があることがわかります。
では、ここで指す「一定以上の文字数、文字種」は、具体的には何文字以上だと思いますか?
最初に触れた「Home Security Heroes」の実験結果に触れます。
実験後、文字数や、その組み合わせによって分類を行い、それぞれのパスワードの解析に、どの程度の時間を要したのかをまとめています。
赤枠は危険な文字数・組み合わせ、緑枠が安全なゾーンです。
ということで、冒頭の質問への答えはこちらです。
Q:もし、数字だけ11文字のパスワードを利用している場合、現代のツールでは、これの解析にどれくらいの時間がかかるでしょうか?
A:即座に!
仮にアルファベット小文字だけのパスワードでも、16文字以上設定できれば、現代のツールではその解析までには、2万年以上がかかります。
とはいえ、ツールやサービスによって、登録できる文字数や文字種に制限がある場合が大半です。
そのため、Home Security Heroesは、パスワードは最低でも
・15文字以上
・大文字・小文字・数字・記号の組み合わせ
であることを推奨しています。
さいごに
みなさんのパスワードは、Home Security Heroesの推奨ラインをクリアしていましたか?
しかし、仮にクリアしていたとしても、この安全性は「2023年の段階で」という話にすぎず、来年、再来年と時を重ねれば、より複雑なパスワードや、他の手法での防御が必要になるでしょう。
今回実験に利用されたAIについても、実験中に学習を重ね、解析制度が上がっていった、という話もあります。
常に、最新のIT・セキュリティトレンドに注目する必要があるといえるでしょう。
