パスワードの破り方
山本前回ではパスワードについて書きましたが、逆にパスワードが破られる時はどういう時に起こるのでしょうか。
パスワードの破り方を知って対策することでより安全性を高められますので、出来れば覚えていきましょう。
パソコンを使ったパスワードの破り方は主に4種類です。
①ブルート・フォースアタック(総当たり攻撃)
Web巡回して集めたメールアドレスや、ブラック・マーケットから入手したIDリストを元に、考えられるパスワードをすべて試す、総当たりの攻撃です。
パソコン等の機械が自動で行うため、性能次第ですが英小文字だけ、数字だけといったパスワードですと9桁以下なら1時間かからず破られてしまいます。
英大小文字と数字と記号を使って10桁にすると5年以上、11桁にすると400年以上とほぼ破られなくなります。
対策として数回間違えると一時的にアカウントをロックしたり、再度入力出来るようになるまでしばらく時間がかかる遅延設定にされています。
ただし、アカウントロックや遅延設定はログインに対する対策なので、ExcelやWordなどのデータは15桁以上のより長く複雑なパスワードでないと危険だと言われています。
ブラック・マーケット
インターネット上の闇市のこと、不正に入手したクレジットカード情報や個人情報などを売買し、犯罪の支援活動を商売にしている
②パスワードリスト攻撃
ブラック・マーケットからIDとパスワードのリストを犯罪者が購入し、様々なサービスに対しパソコン等の機械でログインを試します。
購入されたIDとパスワードが正しければ、不正ログインされてしまいます。
少し前まではパスワードの定期的な変更が対策としてありましたが、末尾を1文字変えるだけや覚えやすい簡単なパスワードになりがちなため禁止されているところが増えてきています。
現在の対策としてはパスワードの使い回しをしない、ログインの履歴情報から自分が使っていないタイミングのログインがされていないかを確認します。
③パスワード推測攻撃
知人や企業相手に攻撃される場合に用いられる攻撃方法です。
アカウント所有者の誕生日や出身地など、知られたり公開している情報からIDやパスワードを推測して攻撃します。
またパスワードを忘れた時の、秘密の質問も推測されやすいものですと危険です。
対策としてはパスワードや秘密の質問をそのまま使わないようにしたり関係ない文字列を加えたりします。
例
Q:あなたの出身地は?
A:お花畑 等
ちなみによく使われるパスワードとして2018年のワーストランキングがあります。
1位:123456
2位:password
3位:000000
4位:1qaz2wsx ※キーボード左上から2列分
5位:12345678
6位:123456789
7位:111111
8位:sakura
9位:dropbox
10位:12345
他にnekonekoやdoraemon、iloveyouなども日本では良く使われているパスワードです。
もし上記に載っているパスワードを利用されている方は、今すぐパスワードを変更してください。
④関係者を装ったメールやショートメッセージを送り、偽サイト誘導やウィルス感染させてパスワードなどの情報を盗む
偽のメールからURLを開いてもらって相手に直接打ち込んでもらったり、ウィルス感染させてパスワードや情報を盗まれるケースがあります。
メールに添付されているURLが偽サイトでIDとパスワードを盗んだり、ファイルを開くとウィルス感染して情報が盗まれてしまいます。
情報漏洩でニュースになるのはこのケースが多く見受けられます。
怪しいメールが来た場合は、開かずメール本文のURLには触れず、公式や取引先へ電話で確認したり件名で検索したり調べる事でかなり防げます。
メールの設定でhtmlでメールファイルを開かないようにするのも大事です。
他にパソコンを使わないパスワードの破り(盗み)方もあります。
⑤パソコンやUSBメモリを紛失、盗まれて情報が盗まれる
個人情報などの入ったパソコンやUSBメモリ、DVDなどと言った記録媒体を置き忘れたり盗まれたりして情報漏洩するケースがあります。
飲み会で泥酔して無くしてしまった、電車の網棚に置いたまま忘れてしまった、トイレで席を外した際に盗まれた、ひったくりにあって持っていかれてしまった。
こうなってしまうとパソコンやファイルにパスワードをかけていても、解析ソフトなどで時間をかければ解除出来てしまいます。
社内ルールでパソコンなど盗まれたら困る情報を持っている時はお酒を飲まない、少しの間でも離れない、たすき掛けで盗まれにくくするなど決めて対策が必要です。
⑥パソコンに貼ってある付箋からパスワードを盗む
社内ルールを決めていない企業にありがちで、パソコンに疎い人がIDとパスワードを貼っているケースがあります。
「社内だから・社員しか入らないから」と考えがちですが、悪人が清掃員や宅配業者などの関係者に扮して盗むケースがあります。
近年では、スマホやカメラの性能が向上していて社内写真やビデオに写っただけで盗まれることもあり得ます。
付箋は便利ですが、IDやパスワードの記載はすぐに見えないところしまうようにしましょう。
⑦関係者を装って電話をかけ、パスワードを聞き出す
会社の上司や関係者などを名乗って電話をかけ、パスワードを聞き出すケースがあります。
通常でしたら騙されませんが、緊急時や災害時などの正常な判断がしにくいタイミングですと相手に言われるがまま伝えてしまうことがあります。
伝える前に誰かにワンクッション確認することで、落ち着いて対処が出来るようになります。
直接間接問わずパスワードを破ったり盗んだりする方法は新たに生まれたりしてきています。
パスワードを破られにくく、盗まれにくくするとともに、パスワードが流出したと思ったらすぐに変えていきましょう。
安全にパソコンやインターネットを使うため、少しでも手口を知って対策していってください。
