アイテック公式ブログ

【情報セキュリティにおけるパスワード管理の重要性とは?】

2016年12月22日

 Webメールサービスや、SNSなど、個人情報を多く含むWebサービスが広く普及している。それだけでなく航空会社が提供するマイレージプログラムや、旅行会社が提供するポータルサイトなど、個人向けのサービスサイト(以下、サイト)が沢山運営されている。

 こうしたサイトの多くは個人情報を含むが、世界中どこからでもアクセスができる一方、ログインは、IDとパスワードによるものがほとんどである。

 そんな中、国内では航空会社のマイレージプログラム(※1)用のサイトや、旅行会社が提供するポータルサイトID、パスワード情報が漏えいする事件が続出したほか、国際的なサービスでは、大手WebメールサービスID、パスワード情報が大量に流出したことが話題になった。流出元は別のサイトと言われているが、どういうことが想定されるか考えてみよう。

 まず、別のサイトが流出元というのは、利用者自身が別のサイトでも同じID、パスワードを利用していたということを示している。

 特に最近多いID欄にメールアドレスを指定するサイトの場合、複数のサイト間で同じIDを利用することが一般的である。するとそのうちの一定数の利用者はパスワードも同じものを使っていることを前提に別のWebサービスへの不正ログインに利用する攻撃が行われる。 こうした攻撃を「パスワードリスト攻撃」と呼ぶ。 例えばWebメールサービスのログインに使用しているIDとパスワードを、そのままSNSサイトに利用しているといった場合に、パスワードリスト攻撃に遭いやすいと言える。

 次に、そもそも何故パスワードが分かってしまうのか考えてみる。ここで一番シンプルな攻撃として挙げられるのが「リバースブルートフォース攻撃」である。これは「逆ブルートフォース攻撃」とも呼ばれる。 名称の元になっているのは「ブルートフォース攻撃」である。ブルートフォース攻撃は、あるIDに対するパスワードを総当たりで試していく攻撃手法であり、かなり古典的な攻撃手法と言える。このブルートフォース攻撃への対策は、一定回数以上パスワードを間違えた利用者を一時的に利用不能にするといったロックアウト機能が一般的である。 一方のリバースブルートフォース攻撃は、あるパスワードを使っている利用者を列挙するために、パスワードは同じものを指定しながら、IDの方を総当たりで調べていく攻撃手法である。こうすることで、ブルートフォース攻撃対策のロックアウト機能をすり抜けてしまう。

 他にも標的型攻撃によりサイト運営会社側から情報が漏えいしてしまう事例などもあるが、今回は利用者自身として身を守る術を考えたい。

 多くの個人向けWebサービスでは、ID欄にメールアドレスを指定させるため、これを変えることは自力では難しい。したがって、複数のサイト間で同じパスワードを使用することは極めて危険と言える。また、リバースブルートフォース攻撃対策としては、意味のないランダムな文字列、しかも大文字、小文字、数字、記号などできるだけ多くの文字種から成るものを指定したい。

 最後に筆者自身の対策方法を述べる。 筆者の場合複数サイトのID、パスワードを、暗号化したExcel表に列挙しており、パスワード部分にはランダムな位置に何種類かの決まった文字列を入れており、その部分は伏せ字にしている。 実際に自分の利用しているサイトのID、パスワードを列挙すると、如何に多くのサイトに利用者登録しているかもわかる。皆さんも一度ID、パスワードをリストアップしてみては如何だろうか。


<参考文献>
・JALマイレージ会員情報流出事件
http://itpro.nikkeibp.co.jp/atcl/news/15/012200263/?rt=nocnt

・Gmail, Hotmai, Yahooメールlなどの情報流出事件
http://www.bbc.com/news/technology-36204531

※1:マイレージプログラム
(または、マイレージサービス、英: frequent flyer program、略称:FFP)は、航空会社が行う顧客へのポイントサービスのことである。
主なマイレージプログラムは会員旅客に対して搭乗距離に比例したポイント(一般的に単位はマイル(陸上マイル≒1,609mではなく海里=1,852m)。
またIATAが毎年発行するTPM(区間マイル)を使用する。)を付加し、そのマイルに応じた無料航空券、割引航空券、座席グレードアップなどのサービス提供である。
また、最近では航空会社と関係なくとも「継続的な顧客への付加サービス」を提供するためのポイント集計システムに対して「マイレージ」という呼称を使用することも増えている。
Wikipedia参照

yamamoto

執筆者『山本 明生(やまもと あきお)氏』プロフィール

ベンダー系ソフトハウスにて証券系・銀行系・航空系システム開発に従事、通信サブシステムの開発を中心に担当。独立後、主として通信システム・セキュリティ関連システムの企画・開発・販売およびコンサルティングに従事する傍ら、ITEC
にて情報技術者教育を行う。

アイテックブログをタグで検索