クラッカーが不正侵入を試みるときに使われるツールはいろいろある。そうしたツールは,インターネット上で簡単に入手できるものが多く,クラッカー予備軍の餌になっている。そうしたツールは百害あって一利なしと思えそうなところだが,自らのセキュリティを高める用途に使えたりする。
例えば「パスワード解析ツール」と呼ばれるものがある。パスワード・ファイルからパスワードを見つけだすものだ。クラッカーの手にかかると,相当厄介な使われ方をしてしまうが,自らのパスワードの強さを的確に図るツールとしても使える。
パスワード解析ツールのしくみはこうだ。サーバーOSは,すべてのユーザーのパスワードを暗号化し,一つのファイルにしている。解析ツールは,パスワード候補となる文字列を自動生成し,OSと同じアルゴリズムでその文字列を暗号化する。こうしてできた暗号化したパスワード候補を片っ端からパスワード・ファイルの中身と比べ,一致するまで文字列を作り続けるのだ。
文字列を作り出す方法は大きく二つある。辞書ファイルを使う方法と,パスワードとしてあり得る文字列を総当たりで調べる方法だ。
辞書ファイルには,管理者やユーザーが設定しそうな単語が記述してある。そのため,パスワードに人の名前,動物の名前,地名などを設定しているとひっかかる可能性が高い。一方の総当たりの方法は,「ブルートフォース」とも呼ばれる。この方法は,辞書ファイルにない単語でも,文字数が短かったり,数字だけだったりするとすぐに検出する。
これらのツールを実際に使ってみると,「これは大丈夫」と思って設定したパスワードでも,案外簡単に検出されてしまう。辞書ファイルにありそうな単語を使わないことはもちろん,ブルートフォースで検索できそうな短い文字列を避け,定期的にパスワードを変更するのが有効だということが実感できる。
実は,パスワード解析ツールの中には,ターゲットとするサーバーのIPアドレスを指定し,そのサーバーに実際にログインを繰り返してパスワードを見つけようとするツールもある。ただしこのツールを自分の管理下にないマシンに向けて実行することは,クラッキング行為にほかならない。犯罪行為と見なされるので,絶対にやめよう。
パスワード解析ツールの名前は紹介しない。だが,パスワード解析ツール以外にも多数のクラッキング・ツールがインターネット上で公開されている。自分自身を守るためには,こうしたツールの存在を知っておく必要があるだろう。
