パスワードはもう、知られてしまっている!を前提に考えるセキュリティ
サイトへの不正ログインや、マルウェアによる不正送金の被害が相次いで発生しています。サイトへの不正ログインなどは日常茶飯事的に発生しているような印象を受けます。先日も某社から、サイトが不正ログインの被害に遭ったので、ログインパスワードを強制的に変更させて頂きました。との通知がありました。
このような問題に対する対策として、「今設定されているパスワードを変更する」というのは当然に必要ではあると思いますが、これからは、それだけで済ませてはいけない。と考えた方が良さそうです。
今後も不正ログインは無くならないでしょう。何故なら・・・
不正ログイン対策として、パスワードを変更するというのは当然に行われるわけですが、このような対策は、次の2つの理由から、必ずしも有効ではないと考えるべきです。
- 人が思いつく大抵のパスワードは既に知られてしまっている。
- パスワードを変えないか、安易なパスワードを設定する人が少なからず存在する。
1.については、これまでに流出しているログイン情報が攻撃者同士の横のつながりによってデータベース化され、「辞書」として流通してしまっていると考えれば、もはやこのように考えるべきでしょう。
何十万、何百万通りものパスワードがデータベース化されていたら、人が思いつく大抵のパスワードは、その「辞書」に載っている可能性が高いと考えるべきです。
パスワードを変更したとしても、それが攻撃者が持っている「辞書」に載っているものだったら、破られるのは時間の問題かもしれません。
じゃあ、人が思いつかないようなパスワードを使えばいいんじゃないの?と思うかもしれませんが、人が思いつかないようなパスワードは忘れやすいので、日々のことを考えれば、思い出しやすいパスワード、つまり、思いつきやすいパスワードが使われる可能性は高いと考えられます。
そして2.について言えば、ユーザーの数が多くなればなる程、様々な理由から、パスワードを変えなかったり、変えたとしても、安易なパスワードを設定するような方が少なからず発生するものです。
忙しくて・・・とか、面倒くさくて・・・、など、理由は様々ですが、管理者側が求める強度のパスワードを使ってくれない。一度設定したらそのまんま。
これでは、攻撃者に不正ログインの機会を与えてしまっているようなものですが、当のご本人に協力いただけなかったり、また、協力してもらうことが難しい状況にあったら、管理者側としてはどうしようもありません。
パスワードは知られてしまっているものとして対策を考える
パスワードを変えたとしても、そのパスワードは既に知られてしまっているものの一つかもしれない、また、攻撃者に見破られやすいパスワードを使っているユーザーが少なからず存在する。という状況では、パスワードで防御するという考えはもう通用しない。と考えた方が良いかもしれません。
パスワードは既に知られてしまっているとしたら、どうやって防御するか?
もちろん、設定されたパスワードが何であるか?を解析するのに時間がかかることを考えれば、パスワードを設定し、一定のサイクルで変更を行うことは、サイトへの不正ログインを検知したり、不正ログインの兆候が見られた際に、対処を行うための時間稼ぎをするためにも、有効な方法であることは間違い有りません。
しかし、24時間365日、何時起こるかわからない不正アクセスのために、監視端末の前に人手をはり付けるのは、費用と人員の問題から難しいということはあるかと思います。攻撃者側は自動運用によって、寝ている間も攻撃ができるのに対し、守る側は自動で防御するということができませんから、大きなハンデです。
時間さえあればログインされてしまう可能性があることを考えれば、次のような方法などを組み合わせることも考えた方がよさそうです。
- PCとスマートフォンなど、複数の端末を使わないとログインできないようにするなどにより、パスワードが知られてしまっていても、攻撃者側からは物理的にログインすることが難しい状況を作る。
- 複数のサーバーにデータを分散し、個々のサーバーからデータが盗まれても、それだけではデータとして用をなさないような仕組みにする。
- 他の機器にワンタイムパスワードを表示する、ログイン時に簡単なパズルを解かせるなど、人の手を介さないとログインができないようにする。
これまでは、ログインIDとパスワードの組み合わせによって大事な情報を守るという方法が主流でしたが、今後はそれだけではなく、さらに別な方法も組み合わせることによって大事な情報を守るというのが主流となってくるでしょう。
では、具体的にどのような方法が利便性が高く、効果的な方法と言えるのか?これからはそんな議論も活発になってくるのではないかと思います。
→次の記事へ( スクエニを騙るフィッシングメールが、未だに送られている現実 )