多くの人々が日々何気なく利用しているWebサービスには、ユーザー名とパスワードを設定しているものがあるでしょう。サービスをたくさん利用しているとついつい同じようなパスワードを使いまわしてしまうかもしれません。
パスワードの使い回しは利用者がついついやってしまうことではありますが、攻撃者にとっては格好の餌食です。
それでは、攻撃者に解析されないためには一体どうしたら良いのでしょうか?
パスワード解析による攻撃として、パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)があります。パスワードリスト攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。
安全なパスワード設定とは、強力なパスワードを設定すること、そして強力にしたパスワードを保護することです。さらに、パスワードを他人に知らせないことが大切です。
では、強力なパスワードを設定するにはどのようなことが必要なのでしょうか。
大きく分けて、以下の3点があります。
パスワードは長ければ長いほど強力といえます。しかし長いだけではいけません。複雑でなければ機械的なパスワード推測によってパスワードを解析されてしまいます。
さらに、こういった機械的なパスワード解析では、単純に文字列を一文字ずつ試行するだけでなく、よくあるパスワード設定をリスト化したものから試行することで、パスワードがヒットする確率を高めています。
従って、よくパスワードとして設定しがちな単語は避ける必要があります。また、個人情報をパスワードに設定することも避けましょう。個人情報が漏えいすることで、パスワード自体が漏えいされなかったとしても、攻撃者がパスワードを推測してアクセスする恐れがあるためです。
SplashDataでは、毎年「最悪なパスワードリスト」(Worst Passwords List)を公開しています。
https://www.teamsid.com/100-worst-passwords-top-50/
2018年の結果によると、「123456」、「password」が不動の1位、2位となっています。安易なパスワードは特定されやすく非常に危険です。
■Worst Passwords 1位~10位
1位:123456
2位:password
3位:123456789
4位:12345678
5位:12345
6位:111111
7位:1234567
8位:sunshine
9位:qwerty
10位:iloveyou
パスワードを保護するには、強力に作成したパスワードを秘密にすることが必要です。
パスワードを秘密にするには以下の4点を守らなければなりません。
パスワードの取り扱いに十分気を使っていたとしても、自分以外の誰かにパスワードを共有した場合、パスワード漏えいする可能性が高まります。
身内や内部関係者に対してのみだったとしても、フィッシング詐欺やソーシャルエンジニアリングといった恐れがあるからです。
そういった手段によってパスワードが漏えいすることが想定されます。
次に、複数のサイトでパスワードを使いまわすこともやめましょう。とあるサイトでパスワード漏えいが発生すると、他のサイトでもログインが試行される恐れがあります。もし同じID、パスワードだったとすると、他のサイトでもログインが成功してしまい、被害が拡大してしまうことになります。
さらに、例えある時期にパスワードが漏えいしたとしても、定期的にパスワードを変更していれば、被害が最小限で済む可能性が高まります。
しかし、これだけでは完全に被害を食い止めることはできません。もしアカウントに関する情報が漏えいされた、またはその疑いがあることが明らかになった場合は、できるだけ早くパスワードを変更する必要があります。
パスワードを忘れた時にパスワードを再設定するために仮パスワード発行する際、「秘密の質問」を設定することがよくあります。
この設定した情報がSNSやブログで公開している情報だとすると、攻撃者が仮パスワードを発行してしまう恐れがあるため、安全性が低くなることになります。
「秘密の質問」は答えそのものだけでなく、自分にしかわからない別の言葉を付け足すことで、攻撃者からの推測をさけるようにしましょう。
最近、Webサービスで2段階認証を導入するところが増えてきています。2段階認証とは、特定端末でログインしたタイミングで本人の携帯電話へ認証コードを送信し、その後その端末で認証コードが入力されたら、その端末は本人の端末であると認識し、以降、その端末からはIDとパスワードのみでログイン可能とする認証方法です。
この利点としては、2段階認証ができない端末からはログインできないという点です。
もし、アカウント情報が漏えいしたとしても、攻撃者からの端末ではログインができないということになります。
このように、パスワードを設定する際にも安易なパスワードに設定するのではなく第三者から推測されづらい強固なパスワードにすることが大切です。
パスワード管理も怠らず、自分自身の安全は自分で守りましょう。
今回はパスワード解析を防ぐ方法についてご紹介しました。一番の対策は、同じパスワードを複数のサイトで使いまわさないことですが、サイト側でもWAFの導入などの対策が求められます。
クラウド型WAF「攻撃遮断くん」は、Webサーバ・Webサイトへのあらゆるサイバー攻撃をブロックするWebセキュリティサービスです。不正ログインが成功するとサイトの信用を含めて大ダメージになるので、この機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2017/12/7執筆、2019/10/27修正・加筆)
この記事と一緒に読まれています
2020.01.23
用語集
2020.03.08
用語集
ポートスキャンの特徴と種類、その対策方法についてまとめてみた
2019.09.20
セキュリティ対策
クロスサイトスクリプティング(XSS)のセキュリティ対策とは?
2019.09.08
セキュリティ対策