パスワード流出の怖い話（2） パスワードの使い回しが命取りに……。A商事のインシデントケース

サイバー攻撃の手法は日々高度化・巧妙化しており、あらゆる企業がその攻撃の対象となりうる。サイバー攻撃を未然に防ぐために、まずは適切なパスワード管理を行うことは当然ともいえるが盲点になりがちだ。というのも、企業におけるパスワード管理は従業員任せであることがほとんどで、脆弱なパスワードの設定やパスワードの使い回しなどが横行していることから、不正アクセスされてしまい、深刻な被害にあうケースも多い。本稿では、ある企業で起きたパスワード流出による仮想のインシデントケースを追いながら、パスワード管理をめぐる効果的な対策について考えてみる。

「覚えやすいパスワード」が招いた悲劇

従業員1,000人を抱える中堅商社A商事に務める営業職のAさん。同社では、不正アクセス対策として定期的なパスワード変更を呼びかけていた。パスワードの設定と管理は従業員任せとなっており、Excelや付箋などにメモしている従業員も多い。

Aさんが日々の業務で使用するシステムは、SFAやCRM、名刺管理システムなど10種類以上にも及ぶ。多くのシステムで、それぞれ異なるパスワードを設定したが覚えきれず、システムがロックされてしまうこともしばしばあったという。そのうえ、会社からは定期的なパスワード変更を求められ、パスワード管理の複雑さに頭を悩ませていた。そこで、Aさんはログインの手間を削減するために、すべてのシステムに共通のパスワードを設定することにした。

あるとき、Aさんはいつものように定期のパスワード変更を行ったのだが、実はこのときに変更したパスワードは、すでにダークウェブ上で流出しているものだった。 ダークウェブとは、通常のwebブラウザからはアクセスすることができない、いわゆる闇サイトのことであり、ハッカーなどによってパスワードや個人情報等の取引に利用されている。つまり、ダークウェブ上に流出しているパスワードは、サイバー攻撃を目論んでいる犯罪者たちにとって格好の的というわけだ。そうとは知らず、例によって全システムにその流出しているパスワードを適用してしまう。

そしてある日、重大インシデントが発生する。Aさんのアカウントに対して、パスワードスプレー攻撃が仕掛けられたのだ。パスワードスプレー攻撃とは、サイバー攻撃の一種で、多くのアカウントに対してよく使われるパスワードを利用してログインを試みる手法だ。Aさんは、すでに流出しているパスワードをすべてのシステムに設定していたため、攻撃者は容易に多くのシステムへの不正アクセスに成功してしまう。これにより、あらゆるシステムがロックされ、会社全体のデータが暗号化されるといった大規模なランサムウェア攻撃が発生。同社は業務停止に追い込まれ、攻撃者からは身代金として1億2,000万円が要求された。A商事は結果として、身代金の全額を支払う羽目になっただけでなく、多くの取引先から協業を断られ、株価も大きく落ちてしまった……。

パスワードの定期変更は、むしろリスクを高める⁉

このインシデントの最たる原因は、大きく分けて2つある。1つ目は、Aさんが1つのパスワードを複数システムで使い回していたことだ。おそらく、どの企業でも「パスワードを使い回してはいけない」と注意を呼びかけているだろう。しかし、従業員からしてみれば、10種類以上にも及ぶシステムに対して、それぞれパスワードを生成して管理することは大きな負担であり、覚えきれずにシステムにログインできなくなってしまえば、業務にも支障が出る。業務を円滑に進めるために、ついついパスワードを使い回してしまうケースが後を絶たない。

さらに2つ目の要因は、A商事のパスワード管理にある。それは、パスワードを定期的に変更していることだ。実は、単にパスワードを定期変更するだけでは、むしろリスクが高まる可能性があるという。2017年、米国国立標準技術研究所（NIST）が「パスワードを定期変更する必要はない」とのガイドラインを示した。その背景には、この頃すでにダークウェブに流出したパスワードは膨大な数に達し、定期的に変更したとしても、流出済みのパスワードを設定してしまう危険性がある。定期的にパスワードを変更するのではなく、自分のパスワードが流出している場合は、即座に変更するといった対応が求められる。

エピソード内でAさんは、会社からの要請に従いパスワードの定期変更を実施。しかし、あるタイミングで流出しているパスワードを設定してしまい、さらにその脆弱なパスワードを複数システムで使い回していたことから、A商事は深刻なランサムウェア攻撃の被害に遭ってしまったのである。

強固なパスワードの定義とは

今回のケースから、強固なパスワードを設定することが、いかにサイバーセキュリティ対策の基本中の基本になるかが痛感できるだろう。では、一体どのようなパスワードを設定すれば、攻撃を防げるのだろうか。

security.orgの資料によると、ブルートフォース攻撃（総当たり攻撃）においてパスワードが特定されるまでの時間は、小文字のみから成るパスワードの場合、8桁までであれば即時に、9桁の場合でも2分程度とされている。最低1文字の大文字と数字を用いた組み合わせであっても、6桁までは即時、7桁で1分、8桁でもわずか1時間で特定されてしまう。

安全なパスワードのラインは、特定までに300年かかるといわれている1文字の大文字を含む12桁だ。1文字の大文字と数字と記号を含んだパスワードなら特定までに3万4,000年と、これなら強固なパスワードといえる。

しかしながら、人間が10種類以上のシステムに対して、12桁以上の複雑なパスワードを生成して覚えるのは、現実的ではない。従業員任せのパスワード管理を行っている場合、利便性を重視して、簡易的なパスワードを設定しているケースも多いだろう。また、どんなに強固なパスワードを設定しても、Excelや付箋へのメモによる管理ではいつパスワードが流出してもおかしくない。いかに利便性を担保したうえで、安全にパスワードを管理するかが課題になってくるだろう。

強力パスワードの自動生成し流出パスワードを可視化するソリューション

そこで注目したいのが、Keeper Security APACが提供する企業向けパスワードマネージャー「Keeper Password Manager」だ。従業員のパスワード使用におけるセキュリティ、可視性、そして効果的な制御手段を提供するアプリケーションである。強固なパスワードを自動で生成してくれるうえに、システムにログインする際は、パスワードを自動入力してくれる。従業員は、マスターパスワードだけ覚えるだけで、自らパスワードを管理する必要がないので、セキュリティの安全性と利便性を両立した、高度なパスワード管理を叶える。

また、パスワードの保管方法としては、世界最高水準のセキュリティを誇るデジタルパスワードボルトへ保管される。この保管庫は、「ゼロ知識（Zero-Knowledge）」と呼ばれるアーキテクチャを採用しており、保管されたパスワードなどの情報を最も強固な方法で暗号化し、さらに暗号解除のマスターパスワードは、ユーザーしか知り得ない仕組みだ。

加えて、Keeper Password Managerには、ダークウェブをモニタリングして、利用中のパスワードの流出が確認された場合は、管理者とユーザーに即時に通知する機能が搭載されている。これにより、流出した場合のみパスワードを変更する、といった運用が可能になり、流出済みのパスワードを設定してしまうリスクを低減し、定期的なパスワード変更を行うことなく安全性をより高められる。

今回紹介したA商事のケースは、Aさんの脆弱なパスワードにより不正アクセスが成功し、大きな被害に発展した。これは、従業員任せのパスワード管理を行っているすべての企業で起こりうるインシデントだ。

大手通信会社のVerizonは、2022年の「Data Breach Investigations Report」にて、データ侵害の82％が「人的要因」、つまり、脆弱なパスワードやダークウェブ上に流出したパスワードの利用が要因であると報告している。
Keeper Password Managerは、強固なパスワード管理・ダークウェブへの流出対策を実現するため、これらの人的要因を防ぐことで企業のサイバーセキュリティ対策を強力にサポートする。
現在、流出しているパスワードの数は240億にのぼるという。これは人が覚えられるレベルのパスワードは、すでに流出していると言ってもいいほどの数字で、もはや人がパスワードを管理することに限界がきている。パスワードとは企業の重要な情報を守るもの、ということを再認識したうえで、管理体制を見直してほしい。

Keeper パスワード管理ソリューションで解決 こちらをクリック

[PR]提供：Keeper Security APAC