パスワードのトビラ(1) オンラインとオフラインを知る

ここ数か月、不正ログインによる被害が相次いでいます。大手ポータル、プロバイダ、オンラインショッピングサイトなどなど。こうしたニュースを耳にし、「私のパスワードは大丈夫か?」といった不安をお持ちの方も多いのではないでしょうか。

パスワードにまつわるお作法や約束事にはさまざまなものがあります。サービス運営側から指南されるケースも多いので、大抵のユーザーが実践しているものも少なからずあるはずです。にもかかわらず、これほどの不正ログイン事件が発生しているのはなぜなのか、そんな当然の疑問や漠然とした危機感に少しで応えられればと思い、本連載の最初のテーマに「パスワード」を選びました。

パスワードという、多くに親しみのある認証の仕組みは「すでに限界」と言われてはきているものの、この先もまだまだお世話になる機会が多いはずです。知っておいて損することはないので、まずはこのテーマについて理解を深めるお手伝いを何回かに分けてさせていただきます。

なお、一般的なパスワードの指南記事と同じことを説明してもしかたがないので、本連載では少し趣向を変え、裏側から探っていこうと思います。パスワード突破、すなわち攻撃の手法を紹介することで、自分の周りに存在する対策が正しいかどうかを判断できるようになってもらおうと考えています。

パスワードのお作法や約束事は、パスワード突破を防ぐという観点から作られている"はず"。であれば、パスワード突破について理解すれば、より安全で無駄のない対策を考えられるようになるでしょう。なるべく易しく解説していきますので、しばらくお付き合いください。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故など情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

勘違いしちゃっていませんか? させられちゃっていませんか?

「Windowsのパスワードは複数のGPUを使えばわずか数分から数時間で突破可能」――こういったタイトルの記事を見かけたことはないでしょうか。

あまり詳しくない方々がこのような記事を読んだとき、「自分が使っているコンピュータやシステムが1日もかからず突破され、ネットワーク越しにハッキング被害に遭うのではないか?」という不安を抱く場合があるようです。

結論からいうと、これは感じる必要のない不安です。

といっても、記事が嘘をついているわけではありません(たぶん)。このような記事は、パスワードを突破するアプローチの1つの進化の形を紹介しているだけでしょう。

「パスワードを突破する」と一言で言ってもさまざまなパターンがあるわけです。

今回、知っていただきたいのは、そのパスワード突破の「経路」についてです。

「オンライン」と「オフライン」

パスワードを突破する経路には、大きく分けて「オンライン」と「オフライン」があります。

平たく言うと、皆さんのコンピュータやWebメールなどのインターネット上のサービスに対してログインしようと、ネットワークを通じてパスワード突破を試みてくるものが文字通り「オンライン」です。一方で、なんらかの方法でパスワードハッシュ_※1を盗み出した後、それをローカル環境で平文に戻してログインしてくるという突破ケースもあります。こちらは、ネットワークを介さずに突破を試みているため、「オフライン」となります。

※1 パスワードハッシュとは、元のパスワードをある特定のアルゴリズムによって別の文字列へと変換(ハッシュ化)したもののことを指します。同じ文字列を用いてハッシュ化を行うと毎回同じ文字列が生成されるため、その文字列を比較して一致、不一致を判定しログインさせるかどうかの処理を行うことが可能で、これにより平文のパスワードを保存するということなく認証の仕組みを提供できるようになります。

前述したような記事のように、コンピュータの内部で高速に処理させる仕組みを用いてパスワード突破を試みるものは、「オフライン」を指している場合が殆どです。オフラインの場合、まずは盗み出すというプロセスが必要です。したがって、記事に書かれているような方法で、皆さんのコンピュータやアカウントがインターネット上の誰かによって数分から数時間で乗っ取られるといったような事態に陥ることはありません。つまり、昨今、流行している不正ログインとは別の次元のものであるということです。

「オンライン」のほうが「オフライン」に比べ「侵入」や「突破」というイメージが強く、「オフライン」は「突破」というよりも「解読」といったイメージが強いのではないでしょうか。多かれ少なかれ、本稿の読者の中にも同じイメージをお持ちの方がいらっしゃるでしょう。しかし、前述のような記事に対しては、「突破」という言葉からもしかすると反射的に「オンライン」で簡単に侵入されたり、なりすまされたりするのではないかと強い危機感を抱いてしまうかもしれません。

このような記事を見た時には、まず「突破」の「経路」がどちらなのかということを考えるといいと思います。

「知る」ということは、何事においてもはじめの一歩であると筆者は思っています。無暗に怖がったり騒ぎ立てたりするのではなく、まずは、目の前にあり自身を危険にさらすかもしれないものが、どのような代物なのかを知ることが大切だと思います。

守りたいものがどこからの脅威にさらされているのかということを知らなければ、対策を講じるという次の一歩は踏み出せません。

次回は、その"一歩"を踏み出し新たなトビラを開けるために、昨今、被害が後を絶たない「オンライン」でのパスワード突破の手法について紹介します。