【コラム】

セキュリティのトビラ

1 パスワードのトビラ(1) オンラインとオフラインを知る

辻伸弘  [2013/07/01]
  • <<
  • <

1/20

ここ数か月、不正ログインによる被害が相次いでいます。大手ポータル、プロバイダ、オンラインショッピングサイトなどなど。こうしたニュースを耳にし、「私のパスワードは大丈夫か?」といった不安をお持ちの方も多いのではないでしょうか。

パスワードにまつわるお作法や約束事にはさまざまなものがあります。サービス運営側から指南されるケースも多いので、大抵のユーザーが実践しているものも少なからずあるはずです。にもかかわらず、これほどの不正ログイン事件が発生しているのはなぜなのか、そんな当然の疑問や漠然とした危機感に少しで応えられればと思い、本連載の最初のテーマに「パスワード」を選びました。

パスワードという、多くに親しみのある認証の仕組みは「すでに限界」と言われてはきているものの、この先もまだまだお世話になる機会が多いはずです。知っておいて損することはないので、まずはこのテーマについて理解を深めるお手伝いを何回かに分けてさせていただきます。

なお、一般的なパスワードの指南記事と同じことを説明してもしかたがないので、本連載では少し趣向を変え、裏側から探っていこうと思います。パスワード突破、すなわち攻撃の手法を紹介することで、自分の周りに存在する対策が正しいかどうかを判断できるようになってもらおうと考えています。

パスワードのお作法や約束事は、パスワード突破を防ぐという観点から作られている"はず"。であれば、パスワード突破について理解すれば、より安全で無駄のない対策を考えられるようになるでしょう。なるべく易しく解説していきますので、しばらくお付き合いください。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故など情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

勘違いしちゃっていませんか? させられちゃっていませんか?

「Windowsのパスワードは複数のGPUを使えばわずか数分から数時間で突破可能」――こういったタイトルの記事を見かけたことはないでしょうか。

あまり詳しくない方々がこのような記事を読んだとき、「自分が使っているコンピュータやシステムが1日もかからず突破され、ネットワーク越しにハッキング被害に遭うのではないか?」という不安を抱く場合があるようです。

結論からいうと、これは感じる必要のない不安です。

といっても、記事が嘘をついているわけではありません(たぶん)。このような記事は、パスワードを突破するアプローチの1つの進化の形を紹介しているだけでしょう。

「パスワードを突破する」と一言で言ってもさまざまなパターンがあるわけです。

今回、知っていただきたいのは、そのパスワード突破の「経路」についてです。

「オンライン」と「オフライン」

パスワードを突破する経路には、大きく分けて「オンライン」と「オフライン」があります。

平たく言うと、皆さんのコンピュータやWebメールなどのインターネット上のサービスに対してログインしようと、ネットワークを通じてパスワード突破を試みてくるものが文字通り「オンライン」です。一方で、なんらかの方法でパスワードハッシュ※1を盗み出した後、それをローカル環境で平文に戻してログインしてくるという突破ケースもあります。こちらは、ネットワークを介さずに突破を試みているため、「オフライン」となります。

※1 パスワードハッシュとは、元のパスワードをある特定のアルゴリズムによって別の文字列へと変換(ハッシュ化)したもののことを指します。同じ文字列を用いてハッシュ化を行うと毎回同じ文字列が生成されるため、その文字列を比較して一致、不一致を判定しログインさせるかどうかの処理を行うことが可能で、これにより平文のパスワードを保存するということなく認証の仕組みを提供できるようになります。

前述したような記事のように、コンピュータの内部で高速に処理させる仕組みを用いてパスワード突破を試みるものは、「オフライン」を指している場合が殆どです。オフラインの場合、まずは盗み出すというプロセスが必要です。したがって、記事に書かれているような方法で、皆さんのコンピュータやアカウントがインターネット上の誰かによって数分から数時間で乗っ取られるといったような事態に陥ることはありません。つまり、昨今、流行している不正ログインとは別の次元のものであるということです。

「オンライン」のほうが「オフライン」に比べ「侵入」や「突破」というイメージが強く、「オフライン」は「突破」というよりも「解読」といったイメージが強いのではないでしょうか。多かれ少なかれ、本稿の読者の中にも同じイメージをお持ちの方がいらっしゃるでしょう。しかし、前述のような記事に対しては、「突破」という言葉からもしかすると反射的に「オンライン」で簡単に侵入されたり、なりすまされたりするのではないかと強い危機感を抱いてしまうかもしれません。

オンラインとオフラインの違い。オンラインはインターネットを通じてパスワード突破を仕掛けてくる手法であるのに対して、オフラインは、何らかの手段で盗み出したパスワードハッシュを解析してパスワードを抽出、それを使って正規のフローでログインしてくる。

このような記事を見た時には、まず「突破」の「経路」がどちらなのかということを考えるといいと思います。

「知る」ということは、何事においてもはじめの一歩であると筆者は思っています。無暗に怖がったり騒ぎ立てたりするのではなく、まずは、目の前にあり自身を危険にさらすかもしれないものが、どのような代物なのかを知ることが大切だと思います。

守りたいものがどこからの脅威にさらされているのかということを知らなければ、対策を講じるという次の一歩は踏み出せません。

次回は、その"一歩"を踏み出し新たなトビラを開けるために、昨今、被害が後を絶たない「オンライン」でのパスワード突破の手法について紹介します。

  • <<
  • <

1/20

インデックス

連載目次
第20回 標的型攻撃メール訓練のトビラ(2)
第19回 標的型攻撃メール訓練のトビラ(1)
第18回 アノニマスのトビラ(4)
第17回 アノニマスのトビラ(3)
第16回 アノニマスのトビラ(2)
第15回 アノニマスのトビラ(1)
第14回 公衆無線LANのリスクとその低減策を知る
第13回 だれでも今すぐにできるパスワード管理術
第12回 IE脆弱性の"緩和策"と、ユーザへの正しい伝え方を考える
第11回 Windows XPの延命策とリスクの大きさを知る
第10回 読解力のトビラ(4) 大量アクセスとは限らない、DoSの3つの攻撃手法を学ぶ
第9回 読解力のトビラ(3) 4種類の改ざんを理解する(後編)
第8回 読解力のトビラ(2) 4種類の改ざんを理解する(前編)
第7回 読解力のトビラ(1) 報道から不正ログインを見抜く
第6回 パスワードのトビラ(6) 不正ログインは誰の責任?
第5回 パスワードのトビラ(5)弊害を生む、とあるパスワードルール
第4回 パスワードのトビラ(4) パスワードの使い回しをやめるための具体策
第3回 パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する
第2回 パスワードのトビラ(2) 安易なパスワードが危険な理由を知る
第1回 パスワードのトビラ(1) オンラインとオフラインを知る

もっと見る



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

【ハウツー】Googleお役立ちテクニック - 知りたいことをすばやく調べる(1)
[15:44 5/30] パソコン
千葉県船橋市「ビビット南船橋」で日本初のニトリ、大塚家具が同フロア出店
[15:07 5/30] ライフスタイル
[日本テレビ大久保好男社長]「笑点」新司会の昇太に期待 三平の加入で「番組のカラー豊かに」
[14:55 5/30] エンタメ
[石橋杏奈]吉野家新CMのエピソード明かす 三角巾姿は「新鮮でした」
[14:54 5/30] エンタメ
サンディスク、メインストリーム向け2.5インチSATA SSD - 5,000円程度から
[14:37 5/30] パソコン

特別企画 PR

求人情報