パスワードがデータ漏洩で侵害され、ダークウェブで利用
パスワードクラッキング(解読)は、特定のプログラムやツールを使用して、コンピュータシステムに保存されている、またはネットワークを通じて送信されるパスワードを解読する行為です。このプロセスは非常に困難な作業に思えるかもしれませんが、実際には意外にも比較的容易に行えます。この記事では、パスワードクラッキングの基本的な仕組み、パスワードクラッキングにおいて使用されるテクニック、そして身を守る対策について解説します。
パスワードクラッキングの仕組み
市場には何十種類ものパスワードクラッキングプログラムがあり、それぞれに特別な作り方がありますが、どれも基本的には 2 つのうちの 1 つを行います: 一般的に知られているパスワードの辞書からバリエーションを作成するか、ブルートフォース攻撃と呼ばれる方法で可能な限りの組み合わせを試すかです。
専門的にパスワードを解読する人物は、PayPal アカウントにログインすることが目的ではないことを最初に理解しておくことが重要です。 このプロセスにはそもそも時間がかかり、ほとんどのサービスは何度もログインを試みるとロックされます。 むしろ、漏洩したサーバーからダウンロードしたパスワードファイルに対して働きかけます。 パスワードファイルは、アカウント情報など、ログイン時に必要な情報を保管するものです。 これらのファイルは、通常、ほとんどのサーバーオペレーティングシステムのルートレベルから簡単にアクセスできるか、個々のアプリケーションによって維持されています。 これらのファイルは、弱い暗号化アルゴリズムで保護されている可能性があり、意志の強いサイバー犯罪者にとってはさしたる障害となりません。
犯罪者がパスワードリストを入手したら、それを破るために何度でも挑戦することができてしまいます。 一般的には、個々のパスワードを解読するのではなく、ファイル全体に対してテストを行い、ターゲットを一人ずつ倒していくことを目的としています。 最近のグラフィックハードウェアは、信じられないほど高速にこれを実行します。 例えば、ハイエンドのグラフィックプロセッサを使用した標準的なデスクトップコンピュータで、1 秒間に数兆のパスワードをテストできる商用製品もあります。
パスワードクラッキング技術
パスワードクラッキングの代表的なテクニックを 2 つ紹介します。
辞書クラッキング
辞書クラックとは、既知のパスワードのリスト、単語リストの置き換え、パターンチェックなどを用いることで、よく使われるパスワードを見つけ出す技術です。 漏洩したパスワードのリストを見つけるのは難しくありません。 特定のウェブサイトが公開しており、リストはわずかな費用でダークウェブから入手できます。
辞書攻撃では、パスワードファイルを復号した後、テキスト文字列とバリエーションを使用して異なる組み合わせをテストします。 例えば、多くの人が自分の名前やユーザー名に数字を加え、それを平文で保存していることがあります。 Robert という名前のユーザーが「Robert123」というパスワードを使っていたら、辞書攻撃はそれを数秒で解明してしまいます。 このソフトウェアは、単純に可能な限りの組み合わせを繰り返し、有効なものを特定します。
データベースに登録されている人物の情報がほとんどない場合、この作業はさらに簡単になります。 例えば、子供の名前、住所、電話番号、スポーツチーム、誕生日などを、単独または他の文字と組み合わせてパスワードとして使用することがよくあります。 ほとんどの人がパスワードの末尾に文字を追加するので、辞書クラックがそれら可能性のあるものすべてをサイクルさせるのは簡単です。
ソーシャルメディアは、攻撃者にとって夢のツールです。 人々は自分のプロフィールに個人情報を好きなように掲載したり、自分がフォローしているスポーツチームや有名人について繰り返しツイートしたりします。 これらは、辞書クラックが追い求める当たり前の経路となります。
ブルートフォースクラッキング
ブルートフォースクラックとは、その名の通り、辞書では解けない頑固なパスワードを明らかとする技術です。 今日のマルチコアプロセッサとグラフィックプロセッシングユニットは、ブルートフォース戦術を以前よりも実用的にしています。
マシンは 1,000 ドル以下で購入でき、1 秒間に数十億のパスワードをテストすることが可能です。 短いパスワードは最も推測しやすいため、攻撃者は通常、ブルートフォース戦術を用いて、辞書的アプローチに屈しなかった 5 文字や 6 文字のパスワードを解き明かしますが、そのプロセスには数時間しかかからないかもしれません。
長いパスワードの場合、ブルートフォースと辞書を組み合わせて、可能な組み合わせの範囲を狭めることができます。 ブルートフォースクラッキングソフトウェアの中には、レインボーテーブルを使用するものもあり、これは暗号化されたテキストをリバースエンジニアリングする際に役立つことがある、既知のコードのリストです。
パスワードクラッキングは違法か?
自分のパスワードのためにパスワードクラッキングを使用することは、自分が所有しているローカルデータを使って操作し、権利者の許可を得ており、法律の代理人として行動し、現地の法律を遵守していれば違法ではありません。 一方、他人のパスワードをクラッキングすることは違法となる可能性がありますが、グレーゾーンとなっています。
パスワードクラッキングプログラムも違法ではありません。なぜならそれを使うには完全に有効で合法な理由があるからです。 セキュリティの専門家は自分のパスワードの強度を調べるためにこれらのツールを使用しており、パスワードクラッカーは犯罪と戦うために法執行機関によって広く使用されています。 どのような技術にも言えることですが、これらのツールは悪いことために使われることもあれば、善いことのために使われることもあるのです。
まとめ:パスワードクラッキングから身を守ろう
パスワード保護の最大の問題点は、多くの人が強力なパスワードを使用していないことです。 パスワードの作成に関しては、長いパスワードは短いパスワードよりも破られにくく、ランダムな文字の組み合わせを含むパスワードは、既知のパターンに従うパスワードよりも安全なものとなります。 英数字と句読点が混在する 13 桁のパスワードは、現在の技術で破るのは非現実的とされています。
残念ながら、多くの人はランダムな16桁の文字列を記憶することは難しく、さらに複数のログイン用に異なる文字列を覚えるのはほぼ不可能です。加えて、コンピュータの高速化に伴い、パスワードのクラッキングは以前よりも容易になっています。かつては8桁のパスワードが安全だと考えられていましたが、今後5年以内には18桁のパスワードでも不十分かもしれません。
ここでパスワード管理ツールの役割が重要になります。Keeperのようなパスワードマネージャーを使えば、ファイルやパスワードを安全に保管することが可能です。Keeperは新しい強力なパスワードを生成し、それを安全なボルトに保存する機能を提供します。ボルトに保存されたパスワードは厳重に保護され、アクセスする唯一の方法はマスターパスワードを使用することです。さらに、パスワードマネージャーは二要素認証(2FA)でさらに保護することができ、これはほとんどの状況下で破られることがないとされ、その使用が強く推奨されています。
そんなパスワードマネージャーでパスワードのクラッキングから守る対策として使用してみるのがおすすめです。
現在、Keeperのパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。