情報セキュリティにおける脅威(4)
パスワードクラック
コンピュータ・システムで保存あるいは伝達されるデータからパスワードを割り出す手法のこと
種類と実行方法
パスワードクラックはオンライン攻撃とオフライン攻撃があり、その仕組み上、固定式のパスワードによる認証システムに対して有効な手段である
類推攻撃
ターゲットの個人情報に関する知識から、攻撃者自身がパスワードを類推すること
オンライン攻撃で用いられることが多い
類推されそうなパスワード例
- パスワード無し
- "password"、"passcode"、"admin" およびそれに類するもの
- QWERTYキーボードの列をとったもの - 「QWERTY」、「ASDF…」あるいは「UIOP…」
- ユーザ名あるいはログイン名
- 恋人、友人、身内、ペットの名前
- 自分、友人、身内の出身地、誕生日
- 自分、友人、身内の車のナンバープレート
- 会社の電話番号、住所、ほか最も多いのが携帯電話の番号
- お気に入りの有名人
- 上記のどれかを少しもじったもの。末尾に数字をつける、文字の順番を入れ替えるなど
辞書攻撃
辞書(大抵はコンピュータプログラムで利用し易いよう、単語のみが羅列してあるファイル)に載っている単語を、パスワード等を知るために、入力していき、対象のコンピュータが、どのような反応を示すかを調べ、コンピュータに施されたパスワードを知る事ができる
オンライン攻撃で用いられることが多い
類推されそうなパスワード例
- 一般的な辞書に載っている英単語
- "sys"、"temp" など情報システム関連業務の中で用いられる文字列
総当たり攻撃
考えうる「全ての」パスワードを試す方法
オンライン攻撃で用いられることが多い
類推されそうなパスワード例
- パスワード長(レングス)が短い
- 文字種が少ない
レインボーテーブル
ハッシュから平文を得るために使われるテクニック(アルゴリズム)の一つ。辞書(あるいはパスワード候補の探索空間)の各語のハッシュ値を計算し、ハッシュ値の一覧を検索できるよう平文パスワードとハッシュ値のペアを保存しておくことで効率的にパスワードクラックを行う。ハッシュに salt が使われている場合、レインボーテーブルの有効性は著しく低下する。
オンライン攻撃
ターゲットとなるシステムにネットワークを介して実際にログインを試みながら行う方法
オフライン攻撃
パスワードが保存されたファイルを入手し、それを攻撃者のローカル環境で解読する方法
固定式のパスワード
変更するまで何回も使用可能なパスワード
対策
予防・防止
- ワンタイムパスワード方式、バイオメトリック認証システムなどパスワードクラックが困難な認証システムにする
- 固定式のパスワードを使用する場合は、アカウントのロックアウト設定を有効にする
(オンライン攻撃に有効) - 既知のセキュリティホールに対処し、アクセス権の設定を見直すなどして、パスワードファイル、データベースが盗まれないようにする
- 推測困難なパスワードを設定し、定期的に変更する
- ツールなどを用いて脆弱なパスワードをチェックし、修正する
- ログインの失敗(必要ならログインの成功)がログに記録されるように設定する
検知・追跡
- ネットワーク監視型IDS、ホスト監視型IDS、IPSを用いて検知する
- ターゲットホストのログから連続してログインに失敗している個所を探し出し、攻撃を検知する
回復
- 不正アクセスを受けたホスト・当該ホストからアクセス可能なすべてのホストを対象に、データ改ざん、不正プログラムの埋め込み設定変更などの有無を徹底的に検証・修復する
(状況によってはOSをクリーンインストールし、サーバ環境を再構築する) - 予防・防止に挙げた対策を実施する
ワンタイムパスワード方式
ログインの要求があるごとに新たなパスワードを生成する方式。 生成されたパスワードは一度のみ使用可
バイオメトリック認証システム
指紋、声、顔、虹彩、網膜、掌形、サインなどの身体的特徴、行動様式で個人を認証する方式
アカウントのロックアウト設定
一定回数以上連続してパスワードを失敗したら、一定期間そのアカウントを使用不可にすること
リバースブルートフォース攻撃
不正ログインを目的とするアカウント突破手法のうち、特定のパスワードと、ユーザIDに使用され得る文字列の組み合わせを用いて総当り的にログインを試みる手法のこと
ブルートフォース攻撃ではユーザIDが固定されパスワードの変更が試すが、リバースブルートフォース攻撃ではパスワードを固定してユーザIDの変更が試す
最近では、同じIDで一定回数ログインに失敗するとアカウントロックが多く導入されている。この仕組みはブルートフォース攻撃を阻止するために有効だが、ユーザIDの側を次々と変えていくリバースブルートフォース攻撃の場合、このアカウントロックを回避しやすい。「admin」や「1234」のような安易な文字列をパスワードに用いている利用者は少なくなく、こうしたパスワードに固定してリバースブルートフォース攻撃を仕掛けることで、認証を突破できるアカウントが見つけられやすい
パスワードリスト攻撃
あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)一覧をもとにログインを試みる手法
他のサービスなどから不正に入手したアカウント情報のリストを用いる。総当たり攻撃よりも、ユーザが実際に使っている文字列の組み合わせに突き当たりやすく、不正ログインが成功しやすい。とりわけ、同じユーザがアカウント入手先のサービスでも同じIDとパスワードの組み合わせを設定していた場合、つまりアカウント情報の使い回しをしていた場合、ピンポイントでログインできてしまう
対策
- ユーザはアカウント情報の使い回しを極力しないこと
- サービス運営者側は2段階認証などのように一層堅固な本人確認の仕組みを導入すること
- 別々にユーザIDとパスワードのリスト(電子ファイル)を作成・保存する
