第2回　現状編：あなたは大丈夫？パスワードの危険な実態

　まずは、パスワードの現状を考えてみよう。複数のセキュリティ専門家に話を聞くと、一般ユーザーの多くは、図2-1のような文字列をパスワードに設定しているという。

図2-1●こんなパスワードが使われがち 複数の専門家への取材を基に、編集部で作成。専門家によれば、個人ユーザーと企業ユーザーのいずれでも、上記のようなパスワードを設定しているユーザーは多いという。特に多いのが（1）と（2）。

　特に多いのが、（1）ユーザーIDと同じ文字列、と（2）パスワードなし。（1）は、ユーザーIDが例えば「user123」だったら、パスワードも「user123」にすること。（2）では、パスワードの入力が求められたときにリターンキーを押せば、正規のユーザーとしてログインできてしまう。

　（1）と（2）が多いのは、家庭でパソコンを使っている個人ユーザーに限らない。企業内ユーザーでも同じだという。「数年前、社員が1000人規模の企業で調査したところ、4割のユーザーが、（1）あるいは（2）だった」（セキュリティ製品を開発販売するセキュリティフライデー社長の佐内大司氏）。「以前調査したある企業では、ドメインコントローラとして使っている重要なコンピューターが『パスワードなし』で驚いた」（マイクロソフトのチーフセキュリティアドバイザーの高橋正和氏）。同様の話は、複数の専門家から聞かれた。

　「password」などの一般名詞や、人名などの固有名詞も多いという。「『パスワードには、他人には分からない言葉を設定しろ』と言うと、必ずあるのが、自分の彼女やペットの名前。『誰にも話していないから大丈夫』だと言う」（セキュリティフライデーの佐内氏）。

　覚えやすさや入力のしやすさを重視して、短い文字列や、キーボードの配列を利用した文字列をパスワードにするユーザーも多い。

　そのほか、「キャッシュカードの暗証番号と同じ感覚で、4けたの数字をパスワードにしているユーザーは少なくない」（マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏）。

破りの手口、あの手この手

　以上のようなパスワードは、果たして安全なのだろうか。それを知るためには、攻撃者が用いるパスワード破りの手口を知る必要がある（図2-2）。パスワード破りに強い文字列は「安全」、弱い文字列は「危険」と言えるだろう。

図2-2●パスワード破りの手口 パスワード破りの基本的な手口。攻撃者がまず試すのは（1）。次に（3）によってパスワードを破ろうとする。身近な人間が攻撃者だった場合には（2）も行われるが、（2）で推測できるような文字列は（3）の「辞書」に含まれていることがほとんど。ここでの辞書とは、一般の辞書とは別物。パスワード破り用に作成された専用の辞書を指す。

　攻撃者がまず行うと考えられるのは、「（1）単純な推測」。ユーザーIDと同じ文字列をパスワードとして入力したり、パスワードを入力することなくリターンキーを押したりする。

　攻撃者が身近な人物なら、ターゲットの「（2）個人情報に基づいた推測」が行われる場合もある。ただし複数の専門家によれば、（2）よりも（3）の「辞書攻撃」の方が、よく用いられるという。

　というのも、辞書攻撃用のツールや辞書がインターネットで公開されているためだ（図2-3）。ここでの辞書とは、通常の辞書とは異なり、パスワードによく使われる文字列を収めた、パスワード破り専用の辞書を指す。この辞書には、一般名詞だけではなく、（2）で試すような人名や地名などの固有名詞も含まれている。このため、辞書攻撃を行うなら、（2）を実施する必要はほとんどないのだ。

図2-3●ネットで公開される「パスワード破りツール」 インターネットには、パスワード破り用のツールが多数存在する。図のツールでは、ターゲットとするWebサイトのIPアドレスと、ユーザーIDおよびパスワードの辞書ファイルを指定すれば、辞書にあるIDとパスワードを次々と組み合わせて、そのWebサイトへのログインを試みる。辞書ファイルもインターネットで公開されている。こういったツールや辞書を使えば、誰でもパスワード破りを試みることができる。 [画像のクリックで拡大表示]