アーカイブ

2015 年 3 月 のアーカイブ

パスワードを定期的に変更することに意味はあるのか?

2015 年 3 月 15 日 コメントはありません

 皆さんはパスワードの定期的変更、してますか? 私ですか? 私はしていません。でも、使用するサービスで情報漏洩があった時やパソコンを買い換えるタイミングなど時々変更するようにしています。

 パスワードを定期的変更は無意味だという人がいます。私は無意味であるとは考えていません。パスワードを定期変更しなかったとしても多くの人が不正アクセスなどのセキュリティ被害にあうこともなく平穏な日々を過ごしていることが多いでしょう。そのためパスワードを定期的に変更しなくてもパスワードの盗用によるセキュリティ被害に遭うことはないと感じてしまいます。

 一方、なんらかの理由(フィッシングサイトに入力してしまった、コンピュータウイルスに感染し盗まれた、サービス提供企業の管理者が不正に持ち出したなど)で流出したパスワードが闇サイトでパスワードリストの形で販売されたような場合はどうでしょうか。パスワードを一度も変更しない人は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。

 (私はパスワード定期変更は一般的に効率が悪い対策と考えこれを推奨する意図は持っていません。ただその効果について一律に否定する必要もないと考えています。ここではパスワードの定期的な変更は意味がないというようなことを言われている方々がその根拠として示される主張についてその矛盾点を指摘し、私がパスワードの定期変更が無意味とは言えないと考える理由などについて説明したいと思います。[3/15 22:20追記])
 
■攻撃者は短時間で攻撃を完了する? 
 パスワードの定期変更に意味がないと考える多くの人は、不正を働くような人物は「長期間に不正アクセスを続けない。ワンショットで必要なモノを手に入れたりバックドアを仕込む」( https://twitter.com/akira_mori0120/status/576016428861562880 )と考えることが多いようです。ですから定期的にパスワードを変更したとしても変更される前に被害が発生してしまいその後も被害が発生することもないので意味がないと考えているようです(私がそう考えているわけではありません)。

 果たしてこれは本当でしょうか?2013年12月に購入したパスワードリストを不正アクセスに使用した人物が逮捕されたケース( http://news.livedoor.com/article/detail/8368351/ )では、約160万件のIDとパスワードを6万5000円で購入、膨大なパスワードとIDを一件ずつ楽天市場のログイン画面に入力し250人からポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能だったということです。記事では時間的な経過は明確には書かれていませんがその後もこの2万5000件について何らかの被害が発生していたという報道は出ていないようです。そのため2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり不正利用が行われうる状態にあったと言えます。つまり犯人は不正アクセス可能な全てのアカウントについて即座に悪用しているわけではなかったということです。
(同様に2015年4月に発覚した事件(http://www.yomiuri.co.jp/it/20150417-OYT1T50074.html)では詐欺グループが管理するサーバーからインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかった発表されていますが、そのうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いいた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
これらの事例からも漏洩したIDパスワード等の情報は必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。[5/15 23:55追記])


■被害にあってからパスワードを変更しても意味がない?

 すでに被害にあってしまってからパスワードを変更しても手遅れで意味がないという人もいます。攻撃対象となるサービスが電子メールやストレージサービスなどなんらか利用者にとって重要な情報を保存する可能性のあるものだったとしたらどうでしょうか。攻撃者はワンショットで必要なモノを手に入れるのでその後にはもう被害は発生しないのでしょうか?電子メールやストレージサービスでは継続的に新しい情報が入ってきます。ワンショットで必要なものが手に入れらた後に入ってくる情報(新しく送受信するメールや保存されるファイル等)には価値はないのでしょうか?サービスの内容によっては一旦不正にアクセスされた後でも被害が継続するものと思われます。一度不正にアクセスが行われた後であってもパスワードを変更することによってそれ以降の被害を防ぐことが可能です。不正アクセスが発覚したサービスなどが被害発覚後に利用者に対してパスワードの変更を求めるにはそういった意味があると思います。

■攻撃者はバックドアを仕込む?
 一度パスワードを入手した攻撃者は簡単にバックドアを設置するのでその後も悪用を継続できるしパスワードを変更しても変更したパスワードを入手されると考える人もいるようです。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性はありますが、世に出回るIDパスワードの多くを占めるWebサービスのIDパスワードの話とは切り分けて考える必要があります。Webアプリケーションの場合は通常そのアカウントで新しいソフトウェア(バックドアを含む)をインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。アプリケーションの機能によっては受信したメールなどを別のアドレスに転送することなどによって限定的なバックドアのようなものを設置される可能性はありますが、だからといって変更したパスワードを盗まれるようなことにはならないでしょう(よほど危険なアプリの作り方をしない限り)。バックドアの設置に関してはOSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

■変更してもパスワードが漏洩し続ける? 
 パスワードの定期変更に意味がないと考える多くの人は、パスワードが漏洩するようなサービスまたは利用者であれば変更したパスワードもまた漏洩するのだから同じと考えるようです。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし上記のように最近では誰かが盗んだパスワードをリスト化して販売してそれを購入した人が悪用をしているようなケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多ければ攻撃者がそこまで労力を払う必要はありません。
 
■不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?
 被害が発生すれば100%すぐに発覚し発表されるのであればそういった考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはありませんし、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。(後述するHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく放置されているといったケースもあります。[5/16 00:16追記])
被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎます。知らないうちに被害にあっているかもしれない、あるいは被害に遭う原因となるパスワードが第三者の手に渡ってしまっているかもしれないということを想定した予防的な対策として定期的なパスワードの変更が行われています。

■定期変更よりも優先すべきセキュリティ対策がある?
 パスワードの定期変更をする以前にすべきことはサービス提供者側にも利用者側にもいろいろとあります。(例:パスワードの使い回しを止める、複雑なパスワードをつける、二段階認証を利用する、ユーザーIDの使い回しを止める)だからといって、パスワード以外の認証手段が利用されていない状況ではパスワードの定期的な変更の意味が無いということにはなりません。
 
■サービス毎に違うパスワードをつければ良いのでは?
 パスワードの使い回しをしなければ大丈夫でしょうか?他のサービスに関して漏洩したパスワードを別のサービスに適用して不正アクセスされることはなくなりますが、そのサービスに関するパスワードが漏洩した場合にはやはり被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスのアカウントかを明記した上で販売されることが少なくありませんので、他のサービスからのアカウント(パスワード)の悪用だけを脅威として考えるのでは十分とは言えないでしょう。 また実際に全ての利用者がサービス毎に違うパスワードをつけることを想定するのは現実的ではないと思われます。パスワードをサービス提供者側で指定するなどしない限り多くの利用者は今後も複数のサイトで同じパスワードを利用し続けると考えるのが現実的ではないでしょうか。

■サービスの提供者がしっかりパスワードを保護管理すれば良いのでは?

 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。最近では2014年1月にHeartbleedと呼ばれるOpenSSLの脆弱性が発見されています。OpenSSLのソフトウェアは広く多くのサーバーに利用されていたため世界中のサーバーが利用者のパスワードなどが漏洩しうる状態で長い間放置されていたことが確認されています。[5/15 23:45追記])

■膨大な数のサービスのパスワードを異なるものを設定し全てを定期的に更新するのは現実的ではないのでは?

 はい。人によっては現実的に全てのパスワードを定期的に更新することはツールを使うか紙に書くなどしない限り難しいと思います。利用者の負担が大きすぎるということも理解します。だからといって定期的にパスワードを変更することによるセキュリティ上の効果が変化するわけではなく、意味があったものが意味が無いことになるわけではありません。
 
■で、結局パスワードは定期変更すべきなの?
 パスワードの定期変更に一定の意味があるのであれば利用者にパスワードの定期変更を強制または推奨すべきでしょうか?パスワードの定期変更というセキュリティ対策はそれによってセキュリティの攻撃を抑止する機能を持つものではなく、なんらかの事情(サービス提供側・利用者側の原因を問わず)によりパスワードが漏洩し悪用される状況において実際にそのパスワードが悪用される可能性を低下させる働きを持ちます。また間隔にもよりますがパスワードを定期的に変更するということは利用者にとっての負荷が高く最も不評な対策の一つです。そういった対策のプラス面マイナス面を考慮すると一般的にはパスワードの定期変更は効率の良い対策とは言えません。そのため私自身が定期変更を積極的に推奨することはほとんどの場合においてありません。

 しかしながらパスワードの定期変更の推奨や強制が全く必要ないあるいはすべきではないかというとそうでもないと思います。「セキュリティは最重要事項だ」というような人や組織は(パスワード以外の認証方式を導入すべきですがなんらかの理由で[3/15 17:45追記])パスワード以外の認証手段を利用できない状況においてはパスワードの定期変更を(推奨あるいは強制)考えても良いでしょう。多少利便性が下がろうが利用者の負担になろうが「最重要」なセキュリティには代えられないわけです(私自身は一般にセキュリティが最重要とは考えていません)。

 これに限らずセキュリティ上のリスクやコスト(ユーザーの離脱やパスワード忘れへの対応等)をサービス提供者が背負っている限りその判断に第三者が口出しするべきではないと考えています(もちろん専門家として助言を求められるような場合は別です)。サービスの提供者でも利用者でもない人物がパスワードの定期変更は無意味だからそれを止めさせようというのであれば、それによってもたらされるリスクを引き受ける(補償する)ことを考えるべきでしょう。

 この問題は最終的にはサービスの提供者と利用者のそれぞれがどれだけのコストとリスクを負担するかとそのバランスの問題に帰着します。結局ケースバイケース、リスク分析の結果とリスクに対する姿勢次第だということになります。対象となるアカウントが不正利用されるとどのような被害が発生するのか。保護すべき情報はどの程度重要なのか、どのような脅威が存在しているのか。利用者はどの程度負担に感じるのかなど、リスクとシステムを取り巻く様々な環境を考慮して決定する必要があります。

 より広い視点で見ると、多くの人が同じパスワードを使い続けることは闇市場で流通するパスワードリストの価値を高めることになります。同じパスワードが使い続けられる前提と変更される前提では攻撃者の負荷と悪用の機会は大きく変化します。当然固定されたパスワードのリストの方がずっと管理しやすく価値も高く維持できます。そのようなパスワードリストは時間が経過しても価値が低下しないので蓄積統合されいずれは大規模なパスワードリストとして攻撃者の間で流通することが考えられます。そういった事態を避けるためにも同じパスワードを使い続けないということについては広く利用者が意識をしておくべき事なのではないかと考えています。

■みんなが嫌がっているのだからパスワードの定期的な変更は意味が無いことにしてしまってもいいのでは?
 
 私は理由はどうであれ意図的に虚偽の情報を流布することで世の中を動かそうとすることは良くないと思っています。偏った事実認識に基づき「パスワードの定期変更に意味はない」という言葉が独り歩きすることによって防げる可能性のある被害が防げなくなること、また現実には様々な考慮すべき事象がありそれらから導かれた結果としてパスワードの定期変更の(推奨/強制)を行う判断に至ったサービスの管理者(運用者)が、その背景等を知らない利用者から一方的な批判を受けることは望ましくないと考えています。
 
補足1 「『パスワードの定期変更は無意味』だなどと言っている人はいない。」と言われることがありますがこちらのリンク先にあるように「パスワードの定期変更は無意味」という趣旨の記述をしている人が世の中には存在しているように認識しています。
パスワードの定期変更は無意味という意見( http://togetter.com/li/731333

補足2 ここに書かれているようなことについて、そんなことは当然だろう。何をいまさら偉そうに書いているんだと思う人も少なくないと思います。私もそう思います。セキュリティの専門家やセキュリティに興味のある人の中には上記の内容について納得がいかない人もいるようなのでこのようなエントリーを書く必要があると感じた次第です。