パスワードは、記憶内に留めておく限りは十分に安全なのですが、パスワードの弱点を狙った悪意の第三者の攻撃を受ける場合があります。
ここではパスワードにまつわる代表的な脅威を紹介していきます。

ウイルス・ボット、直接的行動の脅威

パスワードは、頭の中から外へ出た瞬間に無防備になると説明しました。頭から外へ出る瞬間のひとつとして、例えば「使う瞬間」にパスワードをキャッチする方法があります。
「ログイン時にキーボードでどんな文字列を入力したか」をキャッチするのが、ウイルスやボットと呼ばれる小さなプログラムです。
これらのプログラムは、キーボード入力や画面情報等を、インターネットを通じてどこかのサーバーへ送信してしまいます。この種のプログラムは“感染”しなければ問題ないので、パソコンやスマートフォンには最低でもウイルスチェックソフトウェアをインストールしておきましょう。インターネット側から侵入を試みる悪いプログラムは、ウイルスチェックソフトウェアが防御してくれます。
しかし「悪い人」はいろいろと考えます。市販のCD-ROMやDVD等に「ウイルス付きソフト」を仕込み、それを購入してパソコンにインストールすると、ウイルスに感染します。他にも画像閲覧ソフトやゲームソフトに含める等、世の中にはさまざまな作戦が流通しています。現在利用中のソフトのアップデート時に添付されてくるかもしれません。きちんとしたメーカーが作成したソフトであっても、製造段階や流通段階ですり替えられる可能性があります。

ターゲットを絞れば、物理的に留守宅に忍び込み、家の中に危険な機器を取り付けることもできます。キーボードとパソコンの間に装着してキーボードの入力情報を無線で飛ばしたり、部屋のどこかに超小型カメラを設置して画面と手元を撮影することもあります。
このような犯罪は、発見するのがなかなか難しいものです。パスワードの入手後に再び忍び込んで機器を回収すれば、これで証拠隠滅となります。
これらは「頭から出た瞬間に無防備」という弱点を突かれているので、パスワードを複雑にするだけでは防げません。とはいえ、この種の犯罪は、犯罪者側にも手間やコスト、危険性があるため、相応のメリットがないと実施しません。ですから、大金を日常から取り扱ったり、産業機密を所持している方たち以外は、この種の犯罪を必要以上に心配することはないでしょう。

フィッシング詐欺

「フィッシング詐欺」という手法も「悪い人」が以前からよく使う方法です。
ユーザーがアクセスしたWebサイトを本物のサイトであると信じ込ませ、ユーザーIDとパスワードを入力させて情報を盗むのがフィッシング詐欺です。
ユーザーは、いつも利用している銀行等のサイトだと思い込み、偽物サイトにユーザーIDとパスワードを入力します。ところが、その結果入力した情報はすべて「悪い人」に筒抜けになってしまい、預金を不正に振り込まれる等の金銭的被害を受けてしまうのです。
中には、本物と見分けがつきにくい偽物サイトを用意している手の込んだケースもあるので、用心が必要となります。
典型的な手法としては、偽物サイトのURLを記載したメールを、信頼できる会社や機関の名前で送信します。メールを受信したユーザーが、何の疑いもなくメール内のURLをクリックすると、そこは本物に見せかけた偽物サイトだった・・・という流れです。ですので、メールを差出人名だけで判断するのはきわめて危険です。

ブラウザには、こうした詐欺による被害を防ぐため、サーバー証明書による安全性チェック機能が搭載されています。安全なサイトではブラウザの一部に安全マークが出たり、デザインの色が変わったりするので、こうした機能を上手に使って防御しましょう。
これらの脅威は根本的に「詐欺」ですので、日頃から用心しておくことである程度は防ぐことができます。「いつもとどこか違う」というような直感も大事でしょう。
少しでもおかしいと感じたら、安全性を確認できるまでユーザーIDやパスワード等の情報を決して入力しないことです。メールに記載されているURLをすぐにクリックせず、いつも利用しているサービスであれば検索エンジンやお気に入り等から直接アクセスする、といったインターネットの使い方も基本的な心得として有効です。
フィッシング詐欺は、銀行・クレジットカード等の金融機関や、オンラインゲーム等を騙るものが多いのも特徴です。とりわけ、銀行からのメール、銀行からの郵便物(チラシ)等、お金の被害に直結する場合は注意の上にも注意を重ねましょう。
なお、パソコンやスマートフォンがすでにウイルス等によってコントロールされてしまっている場合は、こうしたフィッシング詐欺対策も意味がありません。前項で解説したウイルスやボットがパソコンに侵入するのを防ぐことが、まず重要です。

マンインザミドル(Man In The Middle)

フィッシング詐欺の、より高度なバージョンとして「マンインザミドル(Man In The Middle:M.I.T.M)」という手法があります。
フィッシング詐欺は、偽物のサイトを利用してユーザーIDとパスワードを静的に取得する作戦ですが、マンインザミドルは本物のサイトとの「中継(伝言ゲーム)」により動的に取得する作戦で、「中間者攻撃」あるいは「バケツリレー攻撃」等とも呼ばれます。
マンインザミドルのベースは、簡単にいえば“盗聴”のようなものです。本物のサイトとユーザーとの間に独自の通信を介入させ、送受信されるデータをすべてキャッチします。そのうえで、偽のメッセージで相互を中継し、ユーザーを欺きます。相互の中間に入ってメッセージを制御する点が、伝言ゲームにも似ているわけです。

騙されている側は、画面が中継されてくるので「本物のサイトと全く同じ雰囲気」を味わえてしまいます。しかし「悪い人」は、伝言ゲームのように偽のメッセージを相手に伝えることができるのです。
例えばオンラインバンキングで振込をしようとする際、ユーザーは本物のサイトで振込をしているつもりでも、中継先では勝手に他人の口座に切り替わっていたりします。ユーザーとしては、目標の振込先へ適正に振込ができたと思ってしまうでしょう。
マンインザミドルの手法では、さまざまな犯罪が可能になります。この場合、犯罪がリアルタイムに進むので、オンラインバンキングで使われているワンタイムパスワードも、有効には機能しません。
意識せずに本物のサイトに接続しているという点では、例えば無線LANのアクセスポイントも、マンインザミドルに利用可能です。公衆無線LANに接続するとき、ユーザーは、本物のサイトまでの通信経路に別の通信経路(アクセスポイント)が存在していることを基本的には意識しません。もしもそのアクセスポイントが悪意のものであったら・・・本物のサイトだと思い込みながら悪意のメッセージを受け取り、大金の振込操作を他者の口座に対して行ってしまっているかもしれません。
この犯罪も比較的手間がかかるので、ターゲットが大口の金額を送金することが想定される場合等に実行されると考えられます。
もちろんマンインザミドルの途中でユーザーIDやパスワードを盗むことができるため、そのIDとパスワードを「悪い人」が利用したり、利用履歴から口座残額や振込先、振込金額等をチェックして犯罪の作戦を考える、といったことも実行可能になるのです。

ブルートフォースアタック

パスワード解読の最終手段ともいえる強引な手法が「ブルートフォースアタック」です。「総当たり攻撃」等とも呼ばれます。
ブルート(Brute)とは「けだもののような」という意味、そしてブルートフォース(Brute Force)は「力ずくの」といった意味の言葉です。
総当たりという表現にも表れているように、ブルートフォースアタックでは、パスワード解読に際して組み合わせ可能なすべてのパターンをログイン画面に対し手当たり次第に試します。
ちなみに、0~9の数字だけで構成されたパスワードの場合、可能な組み合わせは、4桁の数字なら0000~9999の1万通り、6桁だと100万通りになります。実際には、それほど性能が高くないパソコンであっても、この程度であれば、たいした時間をかけずにすべての組み合わせを試すことができます。手当たり次第にチャレンジするので、確かに効率的には最悪ですが、パソコンを利用すると、あとは時間をかけるだけです。
銀行のATMでは、パスワードの入力試行回数が3回まで等と決められており、その回数に達するとアカウントが一時的にロックされるので、その場で1万通りを試すことはできません。パソコンも利用できませんし、監視カメラもありますので、4桁の暗証番号でも、セキュリティをある程度確保できるわけです。
しかし、通常のWebサイトのログイン等で、もしこのようなアカウントロック機能がなく、ハッキングにパソコンを利用できるのであれば、1万通り程度の組み合わせの暗証番号では、危険性が非常に高いことになります。いうまでもなく、パスワードの桁数を増やし、数字だけでなく、英字や記号を組み合わせれば、組み合わせは飛躍的に増えるため、リスクは減少します(下表参照)。
大文字・小文字を区別する英字と数字の組み合わせでは、4桁でも約1500万通り、8桁なら約220兆通りになりますので、安全性が高まります。しかし、長くて複雑なパスワードを設定すると、今度はユーザー側がそのパスワードを管理するのが難しくなり、ついパソコンにメモを残したりと、セキュリティの担保と実際の対処法の間にジレンマが生まれてしまいます。

そこで、ICカード等を併用している場合は1億通り、パスワード単体の場合は1兆通りを超える組み合わせを推奨します。なお「数字+英字(大小区別なし)」が、効率や使いやすさのバランスが良い組み合わせです。例えば、マイナンバーカードのパスワードはこの文字種で、6桁以上の指定となっています。
ちなみに、手当たり次第にパスワードを探すのではなく、多数のアカウントに対して、アカウントがロックされない範囲の少数のパスワード合致するものを手当たり次第に探す手法もあり、「リバースブルートフォースアタック」と呼ばれます。

アカウントロック攻撃

ブルートフォースアタックのところで、銀行のATMでは暗証番号の入力回数制限があり、それを超えるとアカウントが一時的にロックされてしまうという話をしました。
社内ネットワークのサービスやインターネットサービスでも、同様のアカウントロックシステムが導入されているのが一般的ですが(ロックされるまでのパスワード試行可能回数はサービスによって異なります)、この仕組みを逆手に利用した悪質な行為に「アカウントロック攻撃」があります。
例えば「悪い人」が不特定多数に対して大量に、あるいはターゲットと決めた特定ユーザーに対して、アカウントをロックさせるための攻撃を仕掛けるとします。アカウントがロックされてしまうと、ターゲットとされたユーザーはもちろんのこと、サイトの管理者もロック解除等の対応をしなければならず、会社の業務に支障をきたしてしまいます。金融取引の妨害等も可能でしょう。根本的には“嫌がらせ”の意味合いが強い攻撃です。
復旧には手間と時間が必要なので、混乱が数日続く可能性もあります。結果的に、会社の売り上げ減少や、それを原因とする株価低迷等が発生し、企業経営に大きな影響がもたらされるかもしれません。まだ現実には発生が確認されていないサイバー攻撃ですが、もしものために対処はしておくべきでしょう。

アカウントロック攻撃は、特定のパソコンから大量の攻撃を仕掛けるDoS攻撃や、乗っ取った多数のパソコンを媒介に攻撃を行うDDoS攻撃等と同種のケースと考えられます。DoS攻撃の場合は攻撃元であるパソコン(IPアドレス)からの通信を遮断、DDoS攻撃の場合はトラフィック量が多いIPアドレスからの通信を遮断するというのが一般的な対処法になり、アカウントロック攻撃についても同様の対策が有効でしょう。
どちらの攻撃であっても、後述の「デジタル証明書」や「ログインプロテクト機能」を利用していれば、正しくないパスワードによるログインの試みは失敗としてカウントしない(そもそも認証プロセスに入らない)ため、アカウントをロックしようとしても不可能になります。
なお、この攻撃はIDさえ分かれば実行可能なため、単純なIDやメールアドレスを使ったIDの場合は、将来的に攻撃を受ける可能性があります。使用するIDについても注意が必要です。

「ITセキュリティ強化の道」記事カテゴリ

※この記事は、パスロジムック「ITセキュリティ強化の道 ~「認証」を極めて、セキュリティ&業務効率UP!~」から抜粋・転載した内容です。