なぜパスワードだけでは不十分なのか

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-03-08 09:27:20.

オンライン認証サービスの Duo Security でセキュリティ研究のディレクター(アメリカでは「ディレクター」と言っても広い意味があるため、必ずしも「取締役」や「部長」と訳せるわけではありません)を務めているスティーヴ・マンツィク(Steve Manzuik)さんが SC Magazine へ寄稿した “Why passwords alone are not enough [なぜパスワードだけでは不十分なのか]” という記事によると、フィッシングやソーシャルエンジニアリングの発達によって、解析が困難なパスワードを使うだけではアカウントを守るためには不十分だといいます。ここでは、彼が展開している論説を紹介した後で、簡単に論評します。

セキュリティに関しては、昔から言われているように、守るべき資産において最も弱い箇所がセキュリティレベルを決定します。これはしばしばチェーンを使った比喩(鎖全体の強さは、繋がっている個々の鐶のうち最も弱い鐶によって決まる)として、情報セキュリティの初等的な読み物に出てきますから、多くの方がご存知でしょう。最も弱い箇所が壊れると鎖全体が用を為さなくなるのと同じで、資産を保護しているセキュリティ全体も、最も弱い箇所が攻撃者に突破されてしまうと用を為さなくなります。

最近の報告によれば、大規模な情報漏洩の 95% は、盗まれた認証情報が関わっています(ただし、マンツィクさんが参照している Verizon のレポートには 95% という数字は出てきていませんが)。また、フィッシングやソーシャルエンジニアリング(あるいはソーシャルハック)の技法がますます発達してきているため、いまや解読が困難な強いパスワードを使うだけではユーザアカウントを保護するには不十分だと言います。これまで「パスワードは死んだ」などという誇大広告が何度も叫ばれてきたのは確かですが、だからといって、我々はパスワードの強さだけに頼るわけにはいかなくなっています。重要な資産を安全に守るには、我々はもっと厳しい対策を採らなくてはなりません。また、攻撃者はたいてい最も攻撃しやすい標的、つまり資産を守る努力をせず、そのために時間や知恵を使わない人間を狙います。

他方――とマンツィクさんの議論は続きます――、ここ数年のセキュリティ技術の進展によって、パスワードそのものが、アイデンティティを証明する認証方法としては不十分であることが分かってきました。その証拠は周りにたくさんあります。2015 年にオンライン・デートのサイトである Ashley Madison から 1,120 万件のパスワードが漏洩した事件では、最もよく使われていたパスワードが公になりました。British Gas の顧客情報が漏洩した事件では、British Gas はシステムに侵入されていないと否定しており、この事例ではフィッシングによって認証情報が盗まれた可能性が指摘されています。

最近の調査では、インターネット利用者の 44% はパスワードを他人と共有したり、他人が見られる場所に書き留めているそうです。また、みなさんはよくご存じのとおり、弱い文字列のパスワードを使ったり、同じパスワードを色々なサービスに使い回すのは危険です。技術の発達によって、素人でも高度なパスワード解析ができるツールを簡単に手に入れられるようになっています。いまや、パスワードを解析している攻撃者は一部の天才的なハッカーだけではありません。初心者でも扱えるオープンソースの HashCat というツールですら、1 秒間に 3,500 億個の文字列を解析できてしまいます。

複雑で長いパスワードをサービスごとに設定するという煩わしさを解決するには、パスワード管理ソフトを使うのがいちばんです。また、攻撃者を妨害する一つの手立てとして二段階認証を導入することもよいでしょう。ですが、残る問題は、こうした対策を導入すると不必要な別の煩わしさが増えて、サイトへログインして何かをやるという作業の効率が落ちるということです(後述しますが、僕はマンツィクさんのこの想定には疑問があります)。認証用の機器(ハードウェア・トークンや “key fob” と呼ばれる、ワンタイムパスワードを生成する小さな機器)は既に多くの場面で普及していますが、あらゆる機器から、あらゆる環境において、生産性を損なわずにアクセス可能な人だけが安全にアクセスできる方法を、これからも見出さなくてはなりません。

以上がマンツィクさんの議論となっています(最後の段落は自社製品のクロージングみたいになっていますが、クラウドベースの二段階認証サービスを使えば、生産性を損なわずに安全にアクセスできると言っています)。

まず、このような論説は一定の与件を置いていることが多く、マンツィクさんの議論においても SC Magazine の読者であるビジネス関係者を想定しています。そういう留保が必要であることは確かですが、強いパスワードを安全に運用していさえすれば良いわけではないという主旨は明確ですし、僕も同意できます。もとより、オンラインサービスの場合には、例えば運営側が認証情報を暗号化していないという事例が山のように発覚しています。僕たちがどれだけ強いパスワードを安全に運用・管理していたとしても、認証する側が認証情報(credentials)を杜撰に管理していると対策しようがありません。「そういうサービスを使わない」というのは、確かに一つの選択肢として持っていた方がよい方針ではありますが、そのような意味での潔癖さを他人に求めても限界があります。サービス設計者や開発者や運用担当者の全ては、Google や Microsoft に勤めていようと、スタンフォード大学の数学博士号をもっていようと、彼らだって僕らと同じ凡人でしかありません。能力には限界がありますし、間違いも犯します。そして、そもそも常に稼動しているオンラインサービスやインターネットの常時接続環境が人の運用に依存している現状では、僕たち全員が自覚もなくお互いに無茶なことを相手に求めてしまっている可能性だってあります。

次に、上記の中で「後述します」と書いたのは、サイトへログインするときに二段階認証やワンタイムパスワードを使ったり、サービスごとに設定したパスワードを管理するためにパスワード管理ソフトを使うと「作業効率が落ちる」というのは、サイトを利用し始めるまでのプロセスに一つでも追加の手順が入るなら自明だと言えますが、果たしてビジネスの現実において本当に憂慮するほどの影響があるのでしょうか。会社の業務でグループウェアや CRM システムや工数管理システムなどにアクセスするとき、一定のあいだ利用するのであれば、その当日はセッションを維持したままブラウザ上で作業するでしょう。何かやるたびにログアウトするような人は、そもそも作業手順を修正させるべきであって、パスワード以前の労務管理という問題になります。一日にログインとログアウトを頻繁に繰り返すような場合、例えばグループウェアにアクセスするとか、ウェブメールを読むとかいった用途においては、確かにログインするたびにパスワード管理ソフトを起動するのは手間が増えるため、ブラウザにパスワードを記憶させるといった危険な(と言われる)行為が増えてくるかもしれません。しかし、だからといって、パスワード管理ソフトを起動することやワンタイムトークンを入力することが面倒だと言っているような人は、恐らく「自分のギャラに直結しない業務」は全ていい加減にこなす人物なので、そもそも会社勤めには適合していません。組織というものはバラバラな思惑を持ちながら一部の利害が一致する人々の集団なので、ライフスタイルや人生観まで一致するような仲良しグループならルールは大して必要ありませんが、殆どの組織には一致していない利害を調整するためのルールが必要になります。就業規則や労務規約は最低限のルールであって、こうしたルールは自分がセールスマンだろうとクリエイターだろうと取締役だろうと守らなくてはなりません。したがって、パスワードそのものの機構や実装技術や運用にまつわるリスクと、パスワードに限らずセキュリティ管理策をどうやって守らせるかというマネジメントの問題とは、簡単に一方の結論から他方の結論を否応なく導き出せるものではありません。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook


著者の簡単なプロフィール

河本孝之(かわもと・たかゆき / Takayuki Kawamoto)

大阪市内のベンチャー企業で Chief Privacy Officer(個人情報保護管理者)として、情報セキュリティにかかわるマネジメントや社内システム、ネットワーク全般の運用を担当。1968年、東京都目黒区生まれ。神戸大学大学院博士課程中退(科学哲学専攻)。日本科学哲学会所属。Twitter アカウントは @identifiable_me