アーカイブ

‘パスワード’ タグのついている投稿

【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

2016 年 2 月 1 日 コメント 3 件

【パスワードの定期変更1】〜まずは結論から
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
からの続きになります。

 前エントリーの「【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか」ではパスワードの定期変更の目的を推測リスク対策であると思っていた人が「パスワードの定期変更は無意味」という認識を持ちやすく、また「パスワードの定期変更は無意味」は多くの利用者から歓迎されやすいメッセージであることからそういった認識が広まりやすいということについて説明しました。

 本エントリーではパスワードの定期変更の本来的な目的として考えられる「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果について果たして無意味と言えるほどに小さいのかということについて考えてみたいと思います。
 
 本エントリーはテーマ上、昨年書いた「パスワードを定期的に変更することに意味はあるのか?」 の内容と重複する部分が多くありますのでご了承ください。

【漏洩リスク対策としてのパスワード定期変更】
 パスワードを定期的に変更することによって、パスワードがなんらかの理由で流出した場合に悪用される期間を限定することができます。日本ではここ数年アカウント名とパスワードがリスト化されたものを使用して不正アクセスが行われる被害が多く発生しています。このようなパスワードリストは闇サイトなどで販売されており購入した人物が不正な目的に使用します。こう言った攻撃が行われた場合パスワードを一度も変更しない利用者は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。パスワードリスト攻撃は対象となるシステム以外から漏洩したパスワードを他のシステム対して利用するケースもありますが、対象となるサービスを特定したリストの存在も確認されています。

【パスワード定期変更では遅すぎる?】
 パスワードの漏洩に関する対策としてパスワードを定期的に変更することに意味がないという人の主張として、パスワードの漏洩後攻撃者はすぐに悪用し短時間に損害を与えてしまうので、定期的なパスワード変更では手遅れであるというものがあります。一見もっともな主張のようにも見えますが、実際に発生しているインシデントを見ていると必ずしもそうとも言えないということがわかります。以下で具体的な事例を示しながら解説します。

【漏洩から悪用されるまでの時間】
 まずパスワードの漏洩から実際に悪用されるまでの時間ですが1990年代ではパスワードを盗み出す攻撃者がそのままその権限を悪用するといったケースがほとんどでしたが、2000年代中頃からは攻撃の分業化が進み、不正に取得されたパスワードがリストとして販売され悪用する人物がそれを購入して使用するというケースが多く確認されています。
 2013年12月に発覚した楽天市場に対する不正アクセスのケース[1]では、犯人は約160万件のIDとパスワードを6万5000円で購入、このうち250人のアカウントのポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能であることが確認されていたということです。その後この2万5000件に関して何らかの被害が発生していたという情報は確認されていないので、2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり逮捕されていなければ不正利用が行われうる状態にあったと言えます。
 同様に2015年4月に詐欺グループが摘発され彼らが利用していたサーバーが押収されたケース[2]ではインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかったと発表されています。このうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
 このような事例からも漏洩したIDパスワード等の情報が必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。

【悪用被害は短時間で終結しない】
 次にパスワードを悪用する攻撃者はすぐに損害を与えて攻撃を完結するのかということについてですが、悪用された時点ですぐに被害が発生しそれ以降は被害が拡大しないというシステムやサービスは意外と少ないと思います。通常システムが攻撃をされてアカウントの悪用が疑われるような場合、すぐにパスワードを変更をしてさらに被害が拡大しないような対応を取るかと思います。悪用されてからパスワードを変更しても手遅れで意味がないというのであればここでパスワードの変更を行う必要はないはずです。
 つまり一度パスワードが悪用されてアカウントに被害が及んだとしてもその時点でそれ以上被害が拡大することがないということはケースは限定的であり、多くの場合一度不正にアクセスされたアカウントはその後も被害が拡大し続ける可能性があります。特にメールやチャットなど継続して情報がやり取りされるサービスやデータファイルなど情報の出入りが継続してあるサービスでは、パスワードの変更によってその後やり取りされる情報漏洩や悪用を防止することが可能となりますのでその効果は無視できないと考えられます。
 2015年10月に福岡県の大学教員が使用するメールアカウントに対して元同僚からの不正アクセスを受けていたケース[3]では2014年10月~2015年5月にわたり計約7000回のアクセスが継続して行われたとされています。この間にメールの内容を盗み見られていただけでなく女性の性的な画像を他の同僚に送信するなどの悪質な嫌がらせも行われていたとのことです。こう言った場合においては不正なアクセスの被害が短時間で完結するわけではなく継続的に被害が拡大します。

【バックドアを設置される?】
 一度パスワードを入手した攻撃者はバックドアを設置するのでパスワードを変更しても悪用を継続できるし変更したパスワードも入手されるので意味がないと考える人もいます。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性がありますが、一般に利用されるID・パスワードの多くを占めるWebサービスなどのアカウントの話とは切り分けて考える必要があります。Webアプリケーションの場合は新しいバックドアのようなソフトウェアをインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。一般にOSへのリモートアクセスをパスワードだけで可能とするようなサービスの提供は危険であり、証明書やトークンの利用など認証方式自体を見直すべきでしょう。OSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

【パスワードが漏洩し続けるから変更しても無駄?】 
 パスワードが漏洩するようなサービスまたは利用者であれば定期的にパスワードを変更したとしてもそのパスワードもまた漏洩するのだから意味がないと考える人もいます。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし先に説明したように最近ではパスワードを入手する人物とそれを悪用する人物は異なるケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多くなればなるほど攻撃者はそこまで労力を払うことなくアカウントを悪用することが可能です。
 
【不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?】
 被害が発生すれば100%すぐに発覚し発表されという前提であればこう言った考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはなく、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。2014年に発見され大きな問題となったHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく長期間放置されているといったケースもあります。被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎると言えるでしょう。知らないうちにパスワードが漏洩し第三者の手に渡ってしまっているかもしれないことを想定した対策の一つとして、定期的なパスワード変更が有効に働く可能性は十分あると考えられます。

【サービス毎に違うパスワードをつければ良いのでは?】
 これまで何度か話に出てきたパスワードリスト型攻撃に対して、同じパスワードを異なるサービスで利用している場合のリスクが大きくなるためパスワードを使いまわさないようにといった注意喚起が行われています。これによって漏洩した他のサービスのパスワードを利用した不正アクセスをされることはなくなりますが、対象サービスそのもののパスワードが漏洩した場合は、被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスに有効なものなのかを明記した上で販売されることが少なくありませんので、他のサービスからのパスワードの悪用だけを脅威として考えるだけでは十分とは言えないでしょう。また実際に全ての利用者がサービス毎に違うパスワードをつけるというのも現実には難しいと思われ、そのような状態にはならないことが予想されます。
 
【サービスの提供者がしっかりパスワードを保護すれば良いのでは?】
 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。広く世界中のサーバーで利用されているOpenSSLに見つかったHeartbleedの脆弱性によって、世界中のサーバーから気づかれることなく利用者のパスワードなどが漏洩する状態が長い間放置されていたことが確認されています。

【生のパスワードを保管しているサービスは意外と多い】
 パスワード漏洩の問題のいくらかの原因はシステム側に利用者のパスワードがプレーンテキストもしくは簡単に復号できる状態で保存されていることにあります。そのためシステムにパスワードを保存する際はシステム側では元のパスワードを復元できないように適切にソルト及びストレッチの処理を施したハッシュの形式で保存することが望ましいとされています。しかし現実にはバックエンドのシステムとの連携等様々な理由により生のパスワードが平文で保存されているケースも少なくありません。私自身システム関連の業務や監査の際にこのような生のパスワード群に接する機会を持つことが少なからずあり、そのたびにこれらのパスワードが短い期間のうちに変更されることを願わずにはいられません。また普段そんなことはあってはならないと言った発言を行う方々の組織においても、その後よく調べてみると実は生のパスワードを管理していたというケースも何度となく経験しています。
 2015年7月に総務省が行い公開した調査[4]では回答が得られた28社のうち、有料サービスでは28%、無料のサービスでは70%がパスワードのハッシュ化を行っていないことが確認されています。またいくつかのサイト[5][6]に一部がまとめられているように平文パスワードが取得可能なサービスも継続的に確認されています。

【漏洩リスク対策としてのパスワード定期変更のまとめ】
本エントリーではパスワードの定期的な変更について「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の観点からの効果を中心に解説をしました。ここまで書いてきたようにパスワードを定期的に変更することによってパスワードが漏洩したような場合に次回変更以後その漏洩したパスワードを無効化することができるという効果があります。パスワードを利用した認証において他に同様の効果を得るには二段階(要素)認証を適用するなどが考えられます。それらを利用していない場合においてパスワードを定期的に変更することはパスワードの漏洩リスクに対して一定の効果が得られることが過去の事例等と照らしても言えるかと思います。

【参考情報】
[1] IDとパスワードが流出! キミの楽天ポイントも知らずに盗まれる?(Livedoor NEWS, 2013/12/21)
http://news.livedoor.com/article/detail/8368351/

[2] 楽天、LINE、amazon利用者は注意! 中国向けサーバー流出のID使い約6万人分不正接続(産経ニュース, 2015/4/17)
http://www.sankei.com/affairs/news/150417/afr1504170035-n1.html

[3] 長崎大助教を逮捕=不正アクセス容疑-福岡県警など (時事ドットコム, 2015/10/14)
http://www.jiji.com/jc/zc?k=201510/2015101400405

[4] ウェブサービスに関するID・パスワードの管理・運用実態調査結果(総務省, 2015/7/30)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html

[5] パスワードを平文で送ってくるっぽいサイトまとめ
https://cleartext.azurewebsites.net/

[6] これは危険!生パスワードを保存しているサイトまとめ 
http://matome.naver.jp/odai/2138665666982620701

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか

2016 年 1 月 28 日 コメント 2 件

【パスワードの定期変更1】〜まずは結論から
からの続きになります。

【「パスワードの定期変更を行う目的」についての認識のズレ】

 セキュリティ専門家を含む多くの人が「パスワードの定期変更は無意味」と言ってしまう、言いたくなってしまう理由は複数考えられますが、原因の一つはセキュリティ上の対策として「パスワードの定期変更を行う目的」についての認識にズレがあるからです。「パスワードの定期変更を行う目的」として一般に言われているものとしては以下の二つが挙げられます。

 1 パスワードを総当たりによって推測されることを防止する。(推測リスク対策)

 2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)

 私が見る限り「パスワードの定期変更は無意味」と言ったりその話を聞いてなるほどと思う人の多くは、「パスワードの定期変更を行う目的」を1番の推測リスク対策であると認識しているように見受けられます。一方「パスワードの定期変更は無意味」とは言えないと考える人の多くは「パスワードの定期変更を行う目的」を2番の「漏洩リスク対策」であると認識している、あるいはその意義を認めている人であると思われます。

 1番の「パスワードを総当たりによって推測されることを防止する。」については、変更したパスワードに対して試行するパスワードが偶然一致する確率が存在するため、その効果は最も良い条件においてパスワードを推測するために必要な平均試行時間を最大でたかだか2倍にする程度の効果しかないことがわかっています。
 
 特にオンライン状態での攻撃を想定した場合、この最も良い条件とはパスワードを推測しようとする攻撃者が自由にパスワードの試行を行うことができる状態を想定したものであり実際にはこれは現実的ではありません。多くのシステムでは何度かパスワード試行の失敗が連続すると次のパスワード入力まで一定時間待たなければならなかったりアカウント自体がロックされるなどの対策が行われるのが一般的です。そのため、ここで計算の対象となるような連続したパスワード試行が行えるケースは実際には少なく、仮にそう言った機能がないサービスがあるとすれば無限にパスワード試行ができる状態自体を改める必要があるでしょう。
 
 オフライン状態での攻撃を想定した場合、すなわちパスワードがハッシュ化されたデータとして漏洩しこれを攻撃者が解析するという場合を考えます。このケースはさらにこれらハッシュデータが継続的に漏洩する場合と、一度だけ漏洩しその後は漏洩しない場合(例えば退職者のデータ持ち出しなど)に分けることができます。前者の継続的に漏洩する場合については常に変更された最新のデータに対してパスワードの推測を行うこととなり、これは先のオンラインでの試行回数の制限がないというケースと理論的に同じ状況になります。一方で後者のハッシュ化されたパスワードの一度だけ漏洩しその後漏洩することがないケースについては、パスワード定期変更の効果としては推測リスク対策というよりは漏洩リスク対策としての意義が生じることとなります。(悪用の時点でパスワードが変更されていることによって効果が生じるため。)
 
 つまりどのようなケースについて検討しても「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」はその意義を見出せないということとなります。

 つまり元々「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」の認識はあり得ないのです。しかしそのようなパスワードの定期的な変更の目的に関する誤認は広く存在しており、警視庁のサイトなどにも「長期間利用しているパスワードは破られる可能性もあるため、パスワードを定期的に変更することでセキュリティを高めることができます。」など誤った記述が存在しています。「パスワードの定期変更は無意味」という人の多くは「パスワードの定期変更を行う目的」として1番の「パスワードを総当たりによって推測されることを防止する。」であると考えており、上記のような「パスワードを総当たりによって推測されることを防止する。」の効果が小さいということを認識した際に「パスワードの定期変更は無意味」であることがわかったという発想に結びつきやすいものと考えられます。
 
 「パスワードの定期変更は無意味」と考えている人の中にここまで読んで、いやいや自分は2番の「漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」についても考えた上で「意味がない」と言っているんだよという人もいることでしょう。この部分の議論については次の
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更」というエントリーで一律に「意味がない」とは言えない説明を書いていますのでご確認ください。
 
 本エントリーのテーマである「なぜ『パスワードの定期変更は無意味』と言ってしまうのか」に話を戻したいと思います。

【「パスワードの定期変更は無意味」は好意的に受け止められる】 

 「パスワードの定期変更は無意味」と言ってしまうもう一つの理由は、日々多くの人がパスワードの定期変更を強制されたり求められることにウンザリしており、「パスワードの定期変更は無意味」という主張やメッセージはその真偽を問わず好意的に受け止められる傾向にあるということがあります。実際に「パスワードの定期変更は無意味」といったメッセージを含む記事は大変話題になりやすくメディアサイトなどでは容易にPVを稼ぐことができます。またツイッターやフェイスブックなどSNSでも賛同され拡散されやすいために多くの人の目に触れることとなります。 
 
 そしてこの「パスワードの定期変更は無意味」というメッセージはパスワードの定期変更を強制したり、推奨する事業者やシステム管理部門を批判するための格好の材料として使われ、時に「パスワードの定期変更は無意味であることを分かっていない」と言った表現が用いられます。有名な人が言っているから、や大手企業のGoogleが推奨していないからと言ったことを根拠として「パスワードの定期変更は無意味」であることが確立された客観的事実であるかのように語られることもあります。そしてその考えに基づき企業やシステム管理者を馬鹿にしたり強く批判する発言を行うため、後からその考えを改めることができなくなるという状態に陥ってしまいます。

【「パスワードの定期変更は無意味」と言ってしまう理由】
 
 つまり「パスワードの定期変更は無意味」と言ってしまう理由は、「パスワードの定期変更の目的」を「パスワードを総当たりによって推測されることを防止する。(推測リスク対策)」ことであると考えている人が、この効果が想定していたほど高くないことを知らされた時あるいは気づいた時に、「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果に十分思いを巡らせることなく「パスワードの定期変更は無意味」だと考えてしまうためであり、またそれが多くの人にとって望ましい事実のように受け取られるため、その言説の真偽に関する十分な評価が行われないまま広まってしまうことがさらにそう言った状況を生みやすくしていると考えられます。

(続編)
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

【パスワードの定期変更1】〜まずは結論から

2016 年 1 月 28 日 コメントはありません

 ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。

【結論】
 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。
 
 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じているからです。(個人の考えとして「パスワードの定期変更は無意味《だと思う》」といった表現については他人がとやかくいうことではないと思います。)

 ここで言う事実誤認とは「パスワードの定期変更にセキュリティ上のリスク低減効果がないことが科学的に認められている」という誤った認識がされることです。この事実誤認はさらに「パスワードの定期変更は無意味」という発言を行う原因ともなっており、さらに事実誤認が広がるという悪循環に陥っていると考えられます。

【サービス提供者としての考え方】 
 サービス提供側がパスワードを定期的に変更することを強制したり過剰にうながしたりすることは、多くの利用者にとって負担となり不評となることが多いので施策の採用についてはパスワード以外の認証方法の利用を含め慎重な検討が必要です。私自身は一般的に全ての利用者に対して一律にパスワードの定期変更を強制または推奨すべきと判断されるケースはそれほど多くないと考えています。認証方式の設定については単純に認証の仕組みだけでなく、初期設定や連続した認証失敗への対応、アカウント停止後の回復方法など総合的に検討する必要があります。例えば一定期間パスワードの変更がない場合にログインを停止したとしてもアカウントの復活方法が簡単なのであれば一定期間パスワード変更のないアカウントをロックし、必要に応じてパスワードを利用したログインを復活させるという方法での運用も考えられます。(電子メール送信によるパスワードリセットは認証方式として安全ではありませんが実態として現在多くのサービスで利用されています。)同時にパスワードを定期的に変更することによってパスワードを忘れる可能性が増えたり変更を繰り返すことで弱いパスワードを設定するようになるなどのセキュリティ上のデメリットがあることもありますのでこれらへの対応も合わせて検討する必要があります。

【利用者としての考え方】 
 個々の利用者としてはサービスや扱う情報の性質、利用形態、二段階(要素)認証など他のの認証方式利用の是非などを踏まえパスワードの定期的な変更を行うことによるメリットとデメリットなどを合わせてパスワードの定期変更を行うべきかを考える必要があります。利用する全てのサービスやアカウントについて一律にパスワードの定期変更が必要かどうかを考えるのではなく、それぞれ個々のサービスの自分の利用形態などに合わせて要否を考えるべきでしょう。利用者にとってパスワードを定期的に変更を行うべきか否かの判断には、アカウントが不正利用された場合に自身また他者に対してどの程度のマイナスの影響が及ぶのか、また定期変更を行うにあたり自身がどの程度負担を感じるのか、他のサービスと同じパスワードを設定しない、推測されやすいパスワードを設定しないなど他のセキュリティ要素を損なうことなく実現できるか、またパスワードを忘れずに管理できるかなどの要素も考慮する必要があります。
   
【「パスワードの定期変更は無意味」という表現について】 
 「パスワードの定期変更は無意味」と言う表現を使用すべきではないということについて「誰も本当に無意味だとは言っていない」「全く意味がないと言っているわけではない」、「コストに見合うだけのメリットがないという意味で言っている」などと言った主張をされる方がいますが私が問題視しているのは「パスワードの定期変更は無意味」という言葉そのものであり解釈の内容を問うものではありません。むしろそのように解釈にブレが生じる表現が用いられていることが事実誤認を生む原因となっていると言えるでしょう。
 
【「定期的」という表現について】
 一連の記述について経緯上「定期的」という表現を用いていますが、一般にパスワード変更の文脈において「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており、必ず一定の期間毎に変更するという意味を意図するものではありません。これは一定期間を最長とする不定期な変更を含むものと認識しています。

(続編)
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)

【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

パスワードを定期的に変更することに意味はあるのか?

2015 年 3 月 15 日 コメントはありません

 皆さんはパスワードの定期的変更、してますか? 私ですか? 私はしていません。でも、使用するサービスで情報漏洩があった時やパソコンを買い換えるタイミングなど時々変更するようにしています。

 パスワードを定期的変更は無意味だという人がいます。私は無意味であるとは考えていません。パスワードを定期変更しなかったとしても多くの人が不正アクセスなどのセキュリティ被害にあうこともなく平穏な日々を過ごしていることが多いでしょう。そのためパスワードを定期的に変更しなくてもパスワードの盗用によるセキュリティ被害に遭うことはないと感じてしまいます。

 一方、なんらかの理由(フィッシングサイトに入力してしまった、コンピュータウイルスに感染し盗まれた、サービス提供企業の管理者が不正に持ち出したなど)で流出したパスワードが闇サイトでパスワードリストの形で販売されたような場合はどうでしょうか。パスワードを一度も変更しない人は確実に被害に遭いますが、定期的に変更していた人は漏洩から悪用までの時間がパスワード変更までの時間よりも長ければ被害に遭うことはありません。

 (私はパスワード定期変更は一般的に効率が悪い対策と考えこれを推奨する意図は持っていません。ただその効果について一律に否定する必要もないと考えています。ここではパスワードの定期的な変更は意味がないというようなことを言われている方々がその根拠として示される主張についてその矛盾点を指摘し、私がパスワードの定期変更が無意味とは言えないと考える理由などについて説明したいと思います。[3/15 22:20追記])
 
■攻撃者は短時間で攻撃を完了する? 
 パスワードの定期変更に意味がないと考える多くの人は、不正を働くような人物は「長期間に不正アクセスを続けない。ワンショットで必要なモノを手に入れたりバックドアを仕込む」( https://twitter.com/akira_mori0120/status/576016428861562880 )と考えることが多いようです。ですから定期的にパスワードを変更したとしても変更される前に被害が発生してしまいその後も被害が発生することもないので意味がないと考えているようです(私がそう考えているわけではありません)。

 果たしてこれは本当でしょうか?2013年12月に購入したパスワードリストを不正アクセスに使用した人物が逮捕されたケース( http://news.livedoor.com/article/detail/8368351/ )では、約160万件のIDとパスワードを6万5000円で購入、膨大なパスワードとIDを一件ずつ楽天市場のログイン画面に入力し250人からポイントを電子マネーに交換、2万5000件が楽天市場にログイン可能だったということです。記事では時間的な経過は明確には書かれていませんがその後もこの2万5000件について何らかの被害が発生していたという報道は出ていないようです。そのため2万5000件から250件を引いた2万4750件分のパスワードは悪用されることなく犯人の手元にあり不正利用が行われうる状態にあったと言えます。つまり犯人は不正アクセス可能な全てのアカウントについて即座に悪用しているわけではなかったということです。
(同様に2015年4月に発覚した事件(http://www.yomiuri.co.jp/it/20150417-OYT1T50074.html)では詐欺グループが管理するサーバーからインターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかった発表されていますが、そのうち実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたのは約6万人分だったと報じられています。つまり506万人分から6万人を引いいた500万人分については不正に利用されうる状態で攻撃されることなく保管されていた可能性があります。
これらの事例からも漏洩したIDパスワード等の情報は必ずしも短時間のうちに攻撃に利用されるわけではないということがわかります。[5/15 23:55追記])


■被害にあってからパスワードを変更しても意味がない?

 すでに被害にあってしまってからパスワードを変更しても手遅れで意味がないという人もいます。攻撃対象となるサービスが電子メールやストレージサービスなどなんらか利用者にとって重要な情報を保存する可能性のあるものだったとしたらどうでしょうか。攻撃者はワンショットで必要なモノを手に入れるのでその後にはもう被害は発生しないのでしょうか?電子メールやストレージサービスでは継続的に新しい情報が入ってきます。ワンショットで必要なものが手に入れらた後に入ってくる情報(新しく送受信するメールや保存されるファイル等)には価値はないのでしょうか?サービスの内容によっては一旦不正にアクセスされた後でも被害が継続するものと思われます。一度不正にアクセスが行われた後であってもパスワードを変更することによってそれ以降の被害を防ぐことが可能です。不正アクセスが発覚したサービスなどが被害発覚後に利用者に対してパスワードの変更を求めるにはそういった意味があると思います。

■攻撃者はバックドアを仕込む?
 一度パスワードを入手した攻撃者は簡単にバックドアを設置するのでその後も悪用を継続できるしパスワードを変更しても変更したパスワードを入手されると考える人もいるようです。これはWindowsやLinuxなどのOSにリモートアクセス可能なアカウントについてはそういった可能性はありますが、世に出回るIDパスワードの多くを占めるWebサービスのIDパスワードの話とは切り分けて考える必要があります。Webアプリケーションの場合は通常そのアカウントで新しいソフトウェア(バックドアを含む)をインストールすることはできませんから一般的な意味でいうバックドアが仕込まれることは考えにくいでしょう。アプリケーションの機能によっては受信したメールなどを別のアドレスに転送することなどによって限定的なバックドアのようなものを設置される可能性はありますが、だからといって変更したパスワードを盗まれるようなことにはならないでしょう(よほど危険なアプリの作り方をしない限り)。バックドアの設置に関してはOSのリモートアクセス用のパスワードの話とWebアプリケーションのアカウントの話を混同してしまっている人も少なくないように思われます。

■変更してもパスワードが漏洩し続ける? 
 パスワードの定期変更に意味がないと考える多くの人は、パスワードが漏洩するようなサービスまたは利用者であれば変更したパスワードもまた漏洩するのだから同じと考えるようです。確かにパスワードを盗む人と悪用する人が同じであればそういうこともあるかもしれません。しかし上記のように最近では誰かが盗んだパスワードをリスト化して販売してそれを購入した人が悪用をしているようなケースが多くなっています。漏洩元と悪用者までの間で常にパスワードの情報を同期し続けるようなシステムが構築されれば変更による被害防止効果は薄れますが、パスワードを変更しない人が多ければ攻撃者がそこまで労力を払う必要はありません。
 
■不正アクセスや情報漏洩の被害が発表されたら変更すれば良い?
 被害が発生すれば100%すぐに発覚し発表されるのであればそういった考え方もあるかもしれませんが、被害が発生しても気づくまでに数年以上かかるケースも珍しくはありませんし、当然気づかれないままのケースもあります。また気づいても公表されないケースも存在します。(後述するHeartbleed脆弱性のようにソフトウェアの欠陥によって情報漏洩が発生する状態がサービス提供者が気づかれることなく放置されているといったケースもあります。[5/16 00:16追記])
被害が発生すれば必ず短時間で発見され公表されるという前提はあまりにも楽観的過ぎます。知らないうちに被害にあっているかもしれない、あるいは被害に遭う原因となるパスワードが第三者の手に渡ってしまっているかもしれないということを想定した予防的な対策として定期的なパスワードの変更が行われています。

■定期変更よりも優先すべきセキュリティ対策がある?
 パスワードの定期変更をする以前にすべきことはサービス提供者側にも利用者側にもいろいろとあります。(例:パスワードの使い回しを止める、複雑なパスワードをつける、二段階認証を利用する、ユーザーIDの使い回しを止める)だからといって、パスワード以外の認証手段が利用されていない状況ではパスワードの定期的な変更の意味が無いということにはなりません。
 
■サービス毎に違うパスワードをつければ良いのでは?
 パスワードの使い回しをしなければ大丈夫でしょうか?他のサービスに関して漏洩したパスワードを別のサービスに適用して不正アクセスされることはなくなりますが、そのサービスに関するパスワードが漏洩した場合にはやはり被害にあってしまいます。パスワードリストが流通する場面の多くはどのサービスのアカウントかを明記した上で販売されることが少なくありませんので、他のサービスからのアカウント(パスワード)の悪用だけを脅威として考えるのでは十分とは言えないでしょう。 また実際に全ての利用者がサービス毎に違うパスワードをつけることを想定するのは現実的ではないと思われます。パスワードをサービス提供者側で指定するなどしない限り多くの利用者は今後も複数のサイトで同じパスワードを利用し続けると考えるのが現実的ではないでしょうか。

■サービスの提供者がしっかりパスワードを保護管理すれば良いのでは?

 パスワードの漏洩はサービス提供者側(サーバー側)だけから起こるわけではなくフィッシングやコンピュータウイルスの感染、ショルダーハッキング(盗み見)など利用者側でも発生する可能性があります。(またサービス提供者は様々なソフトウェアを使用していますがこういったソフトウェアには常に多くの脆弱性が存在しています。こういった脆弱性についてはその存在が発見されて公表されるものもあれば公表されることなく悪用され続けるものもあります。各サービス提供者の努力だけではこのような未知の脆弱性についてまで対策を行うことは困難であり一般的ではありません。最近では2014年1月にHeartbleedと呼ばれるOpenSSLの脆弱性が発見されています。OpenSSLのソフトウェアは広く多くのサーバーに利用されていたため世界中のサーバーが利用者のパスワードなどが漏洩しうる状態で長い間放置されていたことが確認されています。[5/15 23:45追記])

■膨大な数のサービスのパスワードを異なるものを設定し全てを定期的に更新するのは現実的ではないのでは?

 はい。人によっては現実的に全てのパスワードを定期的に更新することはツールを使うか紙に書くなどしない限り難しいと思います。利用者の負担が大きすぎるということも理解します。だからといって定期的にパスワードを変更することによるセキュリティ上の効果が変化するわけではなく、意味があったものが意味が無いことになるわけではありません。
 
■で、結局パスワードは定期変更すべきなの?
 パスワードの定期変更に一定の意味があるのであれば利用者にパスワードの定期変更を強制または推奨すべきでしょうか?パスワードの定期変更というセキュリティ対策はそれによってセキュリティの攻撃を抑止する機能を持つものではなく、なんらかの事情(サービス提供側・利用者側の原因を問わず)によりパスワードが漏洩し悪用される状況において実際にそのパスワードが悪用される可能性を低下させる働きを持ちます。また間隔にもよりますがパスワードを定期的に変更するということは利用者にとっての負荷が高く最も不評な対策の一つです。そういった対策のプラス面マイナス面を考慮すると一般的にはパスワードの定期変更は効率の良い対策とは言えません。そのため私自身が定期変更を積極的に推奨することはほとんどの場合においてありません。

 しかしながらパスワードの定期変更の推奨や強制が全く必要ないあるいはすべきではないかというとそうでもないと思います。「セキュリティは最重要事項だ」というような人や組織は(パスワード以外の認証方式を導入すべきですがなんらかの理由で[3/15 17:45追記])パスワード以外の認証手段を利用できない状況においてはパスワードの定期変更を(推奨あるいは強制)考えても良いでしょう。多少利便性が下がろうが利用者の負担になろうが「最重要」なセキュリティには代えられないわけです(私自身は一般にセキュリティが最重要とは考えていません)。

 これに限らずセキュリティ上のリスクやコスト(ユーザーの離脱やパスワード忘れへの対応等)をサービス提供者が背負っている限りその判断に第三者が口出しするべきではないと考えています(もちろん専門家として助言を求められるような場合は別です)。サービスの提供者でも利用者でもない人物がパスワードの定期変更は無意味だからそれを止めさせようというのであれば、それによってもたらされるリスクを引き受ける(補償する)ことを考えるべきでしょう。

 この問題は最終的にはサービスの提供者と利用者のそれぞれがどれだけのコストとリスクを負担するかとそのバランスの問題に帰着します。結局ケースバイケース、リスク分析の結果とリスクに対する姿勢次第だということになります。対象となるアカウントが不正利用されるとどのような被害が発生するのか。保護すべき情報はどの程度重要なのか、どのような脅威が存在しているのか。利用者はどの程度負担に感じるのかなど、リスクとシステムを取り巻く様々な環境を考慮して決定する必要があります。

 より広い視点で見ると、多くの人が同じパスワードを使い続けることは闇市場で流通するパスワードリストの価値を高めることになります。同じパスワードが使い続けられる前提と変更される前提では攻撃者の負荷と悪用の機会は大きく変化します。当然固定されたパスワードのリストの方がずっと管理しやすく価値も高く維持できます。そのようなパスワードリストは時間が経過しても価値が低下しないので蓄積統合されいずれは大規模なパスワードリストとして攻撃者の間で流通することが考えられます。そういった事態を避けるためにも同じパスワードを使い続けないということについては広く利用者が意識をしておくべき事なのではないかと考えています。

■みんなが嫌がっているのだからパスワードの定期的な変更は意味が無いことにしてしまってもいいのでは?
 
 私は理由はどうであれ意図的に虚偽の情報を流布することで世の中を動かそうとすることは良くないと思っています。偏った事実認識に基づき「パスワードの定期変更に意味はない」という言葉が独り歩きすることによって防げる可能性のある被害が防げなくなること、また現実には様々な考慮すべき事象がありそれらから導かれた結果としてパスワードの定期変更の(推奨/強制)を行う判断に至ったサービスの管理者(運用者)が、その背景等を知らない利用者から一方的な批判を受けることは望ましくないと考えています。
 
補足1 「『パスワードの定期変更は無意味』だなどと言っている人はいない。」と言われることがありますがこちらのリンク先にあるように「パスワードの定期変更は無意味」という趣旨の記述をしている人が世の中には存在しているように認識しています。
パスワードの定期変更は無意味という意見( http://togetter.com/li/731333

補足2 ここに書かれているようなことについて、そんなことは当然だろう。何をいまさら偉そうに書いているんだと思う人も少なくないと思います。私もそう思います。セキュリティの専門家やセキュリティに興味のある人の中には上記の内容について納得がいかない人もいるようなのでこのようなエントリーを書く必要があると感じた次第です。