情報セキュリティ相談センター萩原栄幸氏インタビュー「パスワードもログ取得も意味がない」

パスワード信仰に慣れきった人々に、さまざまなリスクが迫っている

　「IDとパスワードという組み合わせの限界が指摘されている」と、萩原氏は現在のセキュリティ認証の大きな問題点を指摘する。現在では、会社のシステムやネットワークへのログイン認証から、インターネットショッピングやメンバー登録などあらゆる場面で、「ID/パスワード」が利用されているのは周知の通りだ。

「企業の社員はもちろん、個人でも1人で何十というID/パスワードを持っている時代です。こうなるともう多すぎて、厳密な管理は物理的に難しい。また本当はパスワードを推測困難な意味のない文字列で作り、なおかつ個々に異なるものを使えば安全なのですが、面倒で生年月日や同じパスワードを使い回すケースが少なくありません。セキュリティを強固にすれば管理が煩わしい。そこで使いやすくすれば、今度は攻撃者に有利というジレンマが続いているのです。」

　また強固と言われる現在のパスワード自体も、意外な弱点を持っているのをご存じだろうか。たとえば8ケタのパスワードでは、数字や各種文字合わせて最大576兆通りの組み合わせが作り出せるため、解読はまず不可能と言われている。だが萩原氏は、これも机上の空論に過ぎないと言う。

「たしかに576兆通りの組み合わせをパソコンで解読すると、1秒間にクラックできるパスワード数が1000万個とするなら平均で約0.9年かかります。しかしあくまでこれはゼロから解読した場合の話です。実際の犯罪者はそんな地道な努力をせずに、ショルダーハッキング、つまりのぞき見などの手を併用するのです。」

　パスワード入力中の手元をこっそり近づいてのぞき見をする。このアナログな方法が、予想以上の“効果”をもたらすというのだ。

「もちろん8ケタ全部をのぞくのは難しいが、頭の3文字程度なら意外に簡単なのです。そしてこの頭3文字を確定して、あと5文字だけをブルートフォース攻撃（総攻撃：全部の文字・数字・特殊文字（＃とか％）を組み合わせて、片っ端から試していく手法）で解読すれば、8ケタでは平均0.9年かかったのが、なんと平均1分24秒で完了してしまうのです。」

　これはいわゆる数学の「べき数」のなせる結果であり、簡単な計算で求めうる知識だ。にもかかわらず、情報セキュリティの現場や教育の場では、驚くほどこのような教育がなされていないのが問題だと萩原氏は指摘する。

「パスワードというのはある意味『実印』よりも大事なのに、管理者から3か月に1度変更するように言われても、『また変えるのか、面倒だ』くらいにしか思わない。これは、企業でセキュリティを啓蒙する側にも大きな問題があると言わざるをえません。」

　規則だけを押し付けるのではなく「なぜそうしないといけないのか？」「自分一人くらい規則を破っても影響ない…とはならず、大きな事件になる可能性を持つのはなぜか？」という事を伝達しなくては人は納得しないのだ。

【次ページ】「とりあえず取っておく」ログは無意味