ホーム > 情報セキュリティ > 【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

【パスワードの定期変更1】〜まずは結論から
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
からの続きになります。

 前エントリーの「【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか」ではパスワードの定期変更の目的を推測リスク対策であると思っていた人が「パスワードの定期変更は無意味」という認識を持ちやすく、また「パスワードの定期変更は無意味」は多くの利用者から歓迎されやすいメッセージであることからそういった認識が広まりやすいということについて説明しました。

 本エントリーではパスワードの定期変更の本来的な目的として考えられる「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果について果たして無意味と言えるほどに小さいのかということについて考えてみたいと思います。
 
 本エントリーはテーマ上、昨年書いた「パスワードを定期的に変更することに意味はあるのか?」 の内容と重複する部分が多くありますのでご了承ください。

【漏洩リスク対策としてのパスワード定期変更】
 パスワードを定期的に変更することによって、パスワードがなんらかの理由で流出した場合に悪用される期間を限定することができます。日本ではここ数年アカウント名とパスワードがリスト化されたものを使用して不正アクセスが行われる被害が多く発生しています。このようなパスワードリストは闇サイトなどで販売されており購入した人物が不正な目的に使用します。こう言った攻撃が行われた場合パスワードを一度も変更しない利用者は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。パスワードリスト攻撃は対象となるシステム以外から漏洩したパスワードを他のシステム対して利用するケースもありますが、対象となるサービスを特定したリストの存在も確認されています。

【パスワード定期変更では遅すぎる?】
 パスワードの漏洩に関する対策としてパスワードを定期的に変更することに意味がないという人の主張として、パスワードの漏洩後攻撃者はすぐに悪用し短時間に損害を与えてしまうので、定期的なパスワード変更では手遅れであるというものがあります。一見もっともな主張のようにも見えますが、実際に発生しているインシデントを見ていると必ずしもそうとも言えないということがわかります。以下で具体的な事例を示しながら解説します。

【漏洩から悪用されるまでの時間】
 まずパスワードの漏洩から実際に悪用されるまでの時間ですが1990年代ではパスワードを盗み出す攻撃者がそのままその権限を悪用するといったケースがほとんどでしたが、2000年代中頃からは攻撃の分業化が進み、不正に取得されたパスワードがリストとして販売され悪用する人物がそれを購入して使用するというケースが多く確認されています。
 2013年12月に発覚した楽天市場に対する不正アクセスのケース[1]では、犯人は約160万件のIDとパスワードを6万5000円で購入、このうち250人のアカウントのポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能であることが確認されていたということです。その後この2万5000件に関して何らかの被害が発生していたという情報は確認されていないので、2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり逮捕されていなければ不正利用が行われうる状態にあったと言えます。
 同様に2015年4月に詐欺グループが摘発され彼らが利用していたサーバーが押収されたケース[2]ではインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかったと発表されています。このうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
 このような事例からも漏洩したIDパスワード等の情報が必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。

【悪用被害は短時間で終結しない】
 次にパスワードを悪用する攻撃者はすぐに損害を与えて攻撃を完結するのかということについてですが、悪用された時点ですぐに被害が発生しそれ以降は被害が拡大しないというシステムやサービスは意外と少ないと思います。通常システムが攻撃をされてアカウントの悪用が疑われるような場合、すぐにパスワードを変更をしてさらに被害が拡大しないような対応を取るかと思います。悪用されてからパスワードを変更しても手遅れで意味がないというのであればここでパスワードの変更を行う必要はないはずです。
 つまり一度パスワードが悪用されてアカウントに被害が及んだとしてもその時点でそれ以上被害が拡大することがないということはケースは限定的であり、多くの場合一度不正にアクセスされたアカウントはその後も被害が拡大し続ける可能性があります。特にメールやチャットなど継続して情報がやり取りされるサービスやデータファイルなど情報の出入りが継続してあるサービスでは、パスワードの変更によってその後やり取りされる情報漏洩や悪用を防止することが可能となりますのでその効果は無視できないと考えられます。
 2015年10月に福岡県の大学教員が使用するメールアカウントに対して元同僚からの不正アクセスを受けていたケース[3]では2014年10月~2015年5月にわたり計約7000回のアクセスが継続して行われたとされています。この間にメールの内容を盗み見られていただけでなく女性の性的な画像を他の同僚に送信するなどの悪質な嫌がらせも行われていたとのことです。こう言った場合においては不正なアクセスの被害が短時間で完結するわけではなく継続的に被害が拡大します。

【バックドアを設置される?】
 一度パスワードを入手した攻撃者はバックドアを設置するのでパスワードを変更しても悪用を継続できるし変更したパスワードも入手されるので意味がないと考える人もいます。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性がありますが、一般に利用されるID・パスワードの多くを占めるWebサービスなどのアカウントの話とは切り分けて考える必要があります。Webアプリケーションの場合は新しいバックドアのようなソフトウェアをインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。一般にOSへのリモートアクセスをパスワードだけで可能とするようなサービスの提供は危険であり、証明書やトークンの利用など認証方式自体を見直すべきでしょう。OSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

【パスワードが漏洩し続けるから変更しても無駄?】 
 パスワードが漏洩するようなサービスまたは利用者であれば定期的にパスワードを変更したとしてもそのパスワードもまた漏洩するのだから意味がないと考える人もいます。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし先に説明したように最近ではパスワードを入手する人物とそれを悪用する人物は異なるケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多くなればなるほど攻撃者はそこまで労力を払うことなくアカウントを悪用することが可能です。
 
【不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?】
 被害が発生すれば100%すぐに発覚し発表されという前提であればこう言った考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはなく、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。2014年に発見され大きな問題となったHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく長期間放置されているといったケースもあります。被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎると言えるでしょう。知らないうちにパスワードが漏洩し第三者の手に渡ってしまっているかもしれないことを想定した対策の一つとして、定期的なパスワード変更が有効に働く可能性は十分あると考えられます。

【サービス毎に違うパスワードをつければ良いのでは?】
 これまで何度か話に出てきたパスワードリスト型攻撃に対して、同じパスワードを異なるサービスで利用している場合のリスクが大きくなるためパスワードを使いまわさないようにといった注意喚起が行われています。これによって漏洩した他のサービスのパスワードを利用した不正アクセスをされることはなくなりますが、対象サービスそのもののパスワードが漏洩した場合は、被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスに有効なものなのかを明記した上で販売されることが少なくありませんので、他のサービスからのパスワードの悪用だけを脅威として考えるだけでは十分とは言えないでしょう。また実際に全ての利用者がサービス毎に違うパスワードをつけるというのも現実には難しいと思われ、そのような状態にはならないことが予想されます。
 
【サービスの提供者がしっかりパスワードを保護すれば良いのでは?】
 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。広く世界中のサーバーで利用されているOpenSSLに見つかったHeartbleedの脆弱性によって、世界中のサーバーから気づかれることなく利用者のパスワードなどが漏洩する状態が長い間放置されていたことが確認されています。

【生のパスワードを保管しているサービスは意外と多い】
 パスワード漏洩の問題のいくらかの原因はシステム側に利用者のパスワードがプレーンテキストもしくは簡単に復号できる状態で保存されていることにあります。そのためシステムにパスワードを保存する際はシステム側では元のパスワードを復元できないように適切にソルト及びストレッチの処理を施したハッシュの形式で保存することが望ましいとされています。しかし現実にはバックエンドのシステムとの連携等様々な理由により生のパスワードが平文で保存されているケースも少なくありません。私自身システム関連の業務や監査の際にこのような生のパスワード群に接する機会を持つことが少なからずあり、そのたびにこれらのパスワードが短い期間のうちに変更されることを願わずにはいられません。また普段そんなことはあってはならないと言った発言を行う方々の組織においても、その後よく調べてみると実は生のパスワードを管理していたというケースも何度となく経験しています。
 2015年7月に総務省が行い公開した調査[4]では回答が得られた28社のうち、有料サービスでは28%、無料のサービスでは70%がパスワードのハッシュ化を行っていないことが確認されています。またいくつかのサイト[5][6]に一部がまとめられているように平文パスワードが取得可能なサービスも継続的に確認されています。

【漏洩リスク対策としてのパスワード定期変更のまとめ】
本エントリーではパスワードの定期的な変更について「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の観点からの効果を中心に解説をしました。ここまで書いてきたようにパスワードを定期的に変更することによってパスワードが漏洩したような場合に次回変更以後その漏洩したパスワードを無効化することができるという効果があります。パスワードを利用した認証において他に同様の効果を得るには二段階(要素)認証を適用するなどが考えられます。それらを利用していない場合においてパスワードを定期的に変更することはパスワードの漏洩リスクに対して一定の効果が得られることが過去の事例等と照らしても言えるかと思います。

【参考情報】
[1] IDとパスワードが流出! キミの楽天ポイントも知らずに盗まれる?(Livedoor NEWS, 2013/12/21)
http://news.livedoor.com/article/detail/8368351/

[2] 楽天、LINE、amazon利用者は注意! 中国向けサーバー流出のID使い約6万人分不正接続(産経ニュース, 2015/4/17)
http://www.sankei.com/affairs/news/150417/afr1504170035-n1.html

[3] 長崎大助教を逮捕=不正アクセス容疑-福岡県警など (時事ドットコム, 2015/10/14)
http://www.jiji.com/jc/zc?k=201510/2015101400405

[4] ウェブサービスに関するID・パスワードの管理・運用実態調査結果(総務省, 2015/7/30)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html

[5] パスワードを平文で送ってくるっぽいサイトまとめ
https://cleartext.azurewebsites.net/

[6] これは危険!生パスワードを保存しているサイトまとめ 
http://matome.naver.jp/odai/2138665666982620701

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

  1. ryuta@fujisawa.endoh
    2016 年 2 月 11 日 05:37 | #1

    ご無沙汰しております。

    パスワードの管理については二つの立場から考えなくてはならないと思います。
    1個目は、サーバ(wordpress等CMS・ホームページのみの管理者も含む)管理者。
    2個目は、一般ユーザ(世間一般の人もしくは、会社等の)

    1個目に該当する方は、しかるべき対策の教育・訓練・自己学習等が出来ていて当然。
    な訳ですが、実際甘いというか、出来ていないです。
    こちらに属する方は、何かあった時のリスクは非常に大きく、テレビでの報道・警察の介入に至ることもありました。

    重要なのがやはり、
    2個目に属する人。つまりほぼすべての日本人。スマホ・PC・今となってはほとんどすべての電子機器ユーザですね。
    そこで、今回先生がおっしゃっている「パスワードの定期変更の有用性の有無」ですが、技術者の観点からすると、定期的に(先生のおっしゃる通りタイミングはケースバイケースですが)やるのは、「前提」であって、個人的な意見ですが、「前提」である以上、その上をやらなければならないと思うのです。

    安易ではありますが、手っ取りばやい、携帯電話のSMSへPINコードを送っての二段階認証。

    しかし、その前に、「前提」の「パスワードの意味」をちゃんと理解している方が少ないです。
    生まれ年と生年月日を入れ替えて最後にイニシャル載せればいいや的な人がほとんどです。
    パスワードは個人情報という価値の入った宝箱を開ける鍵であり、
    その鍵は文字で表され、一般の人は「人が」推測すると思っていますが、実際は「辞書系」からどんどんログインを試みたり、トライ制限のかからないサイトに関しては総当たりでいったり・・・。

    多分、みんな、銀行のキャッシュカードと4桁の暗唱番号になれているからだと思います。
    生体認証云々入れだしましたが、今の仕組みが一番安全な気が。
    パスワードは数字4桁。だいたい知ってる人の誕生日とかにしてますよね。
    ただし、それは頭脳の中のみにあり、
    そして、キャッシュカードという、実体を持ったまさに鍵の棒(4桁パスワードが凸凹だとすると)が絶対必須。
    この組み合わせは、スキミングされなければすごい安全な気が。

    職場によっては、カードと暗証番号入れないと、PC自体動かせないところもあるようですし。

    結局、文字列だけは、危険だと思います。
    例えば、今の暗号強度で十分と判断されているパスワードを生成しても、それを10年放置したら、
    それは、誰でも入れる入り口になっていると思います。

    実態あるものと、記憶の中にあるものの組み合わせがいいと思うのですが。

    結局、セキュリティって、利便性と安全生を天秤にかけることなんですよね。
    それは、使う人がしっかりリテラシー(運転免許的な知識)をもって、その人自身に任せるべきだと思います。

    個人において、知られちゃいけない情報ってそもそも、恋人との情事の一部始終がたまたまスマホのカメラに映って、それがライブで知らぬ間にブロードキャストされてる。とかくらいじゃないですか?
    ぼくは、借金の額が日本中に知れ渡っても「ふーん」ていどですし、
    クレジットは、相当安易なパスワードにしない限り、補償を受けられますし
    家族喧嘩がどうのも、「べつに」ですし。

    ただ、友人や、お仕事を含め、自分以外の他者情報は、何が何でも守るという前提で動いております。
    国家なんちゃらとか、そっちけいについては、僕ごときが語る内容を超えていますので、控えさせていただきます。

    ORFのときは、ご挨拶をしたつもりですが、、、、、
    同様に、このサイトでもちょっとご挨拶をと思ってみたら、さすが、先生です。
    僕のうがビビって逃げました。

  2. Rutice
    2016 年 8 月 15 日 16:06 | #2

    で、いつ完結するんでしょう? この一連の流れ。

  3. Rutice
    2016 年 12 月 27 日 21:51 | #3

    横浜市のマイナンバーのトラブルの件について忌憚のない御意見をお聞かせ下さい。

  1. トラックバックはまだありません。

CAPTCHA