まずは、パスワードの現状を考えてみよう。複数のセキュリティ専門家に話を聞くと、一般ユーザーの多くは、図2-1のような文字列をパスワードに設定しているという。

図2-1●こんなパスワードが使われがち
図2-1●こんなパスワードが使われがち
複数の専門家への取材を基に、編集部で作成。専門家によれば、個人ユーザーと企業ユーザーのいずれでも、上記のようなパスワードを設定しているユーザーは多いという。特に多いのが(1)と(2)。

 特に多いのが、(1)ユーザーIDと同じ文字列、と(2)パスワードなし。(1)は、ユーザーIDが例えば「user123」だったら、パスワードも「user123」にすること。(2)では、パスワードの入力が求められたときにリターンキーを押せば、正規のユーザーとしてログインできてしまう。

 (1)と(2)が多いのは、家庭でパソコンを使っている個人ユーザーに限らない。企業内ユーザーでも同じだという。「数年前、社員が1000人規模の企業で調査したところ、4割のユーザーが、(1)あるいは(2)だった」(セキュリティ製品を開発販売するセキュリティフライデー社長の佐内大司氏)。「以前調査したある企業では、ドメインコントローラとして使っている重要なコンピューターが『パスワードなし』で驚いた」(マイクロソフトのチーフセキュリティアドバイザーの高橋正和氏)。同様の話は、複数の専門家から聞かれた。

 「password」などの一般名詞や、人名などの固有名詞も多いという。「『パスワードには、他人には分からない言葉を設定しろ』と言うと、必ずあるのが、自分の彼女やペットの名前。『誰にも話していないから大丈夫』だと言う」(セキュリティフライデーの佐内氏)。

 覚えやすさや入力のしやすさを重視して、短い文字列や、キーボードの配列を利用した文字列をパスワードにするユーザーも多い。

 そのほか、「キャッシュカードの暗証番号と同じ感覚で、4けたの数字をパスワードにしているユーザーは少なくない」(マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏)。

破りの手口、あの手この手

 以上のようなパスワードは、果たして安全なのだろうか。それを知るためには、攻撃者が用いるパスワード破りの手口を知る必要がある(図2-2)。パスワード破りに強い文字列は「安全」、弱い文字列は「危険」と言えるだろう。

図2-2●パスワード破りの手口
図2-2●パスワード破りの手口
パスワード破りの基本的な手口。攻撃者がまず試すのは(1)。次に(3)によってパスワードを破ろうとする。身近な人間が攻撃者だった場合には(2)も行われるが、(2)で推測できるような文字列は(3)の「辞書」に含まれていることがほとんど。ここでの辞書とは、一般の辞書とは別物。パスワード破り用に作成された専用の辞書を指す。

 攻撃者がまず行うと考えられるのは、「(1)単純な推測」。ユーザーIDと同じ文字列をパスワードとして入力したり、パスワードを入力することなくリターンキーを押したりする。

 攻撃者が身近な人物なら、ターゲットの「(2)個人情報に基づいた推測」が行われる場合もある。ただし複数の専門家によれば、(2)よりも(3)の「辞書攻撃」の方が、よく用いられるという。

 というのも、辞書攻撃用のツールや辞書がインターネットで公開されているためだ(図2-3)。ここでの辞書とは、通常の辞書とは異なり、パスワードによく使われる文字列を収めた、パスワード破り専用の辞書を指す。この辞書には、一般名詞だけではなく、(2)で試すような人名や地名などの固有名詞も含まれている。このため、辞書攻撃を行うなら、(2)を実施する必要はほとんどないのだ。

図2-3●ネットで公開される「パスワード破りツール」
図2-3●ネットで公開される「パスワード破りツール」
インターネットには、パスワード破り用のツールが多数存在する。図のツールでは、ターゲットとするWebサイトのIPアドレスと、ユーザーIDおよびパスワードの辞書ファイルを指定すれば、辞書にあるIDとパスワードを次々と組み合わせて、そのWebサイトへのログインを試みる。辞書ファイルもインターネットで公開されている。こういったツールや辞書を使えば、誰でもパスワード破りを試みることができる。
[画像のクリックで拡大表示]