さいえんす ラボ

子育て、仕事、ブログ、健康に関することを実体験を元に書いて行きます。

サイバー攻撃から身を守れ!あなたのパスワードはどれくらいで破られるか?

f:id:life_of_dreams:20170516064219j:plain

つい先日、ランサムウェアというウィルスで世界中で大規模なサイバー攻撃をうけたと各マスコミでたくさん報道されました。
その被害規模は150ヵ国で20万件以上といわれ、日本でも個人や大手企業が被害に遭っているようです。


サイバー攻撃と言っても、その種類や方法、目的などは多種多様です。
個人情報を盗みだし悪用しようというものや、サーバーのキャパを越えるような大量データの送付により機能不全に陥らせるもの、またはクラッキングなどでシステムを乗っ取ってしまうものなど被害が軽微なものから大きなものまであります。


その中で僕らが常に驚異にさらされているのは、パスワードの解読などによる個人情報の流出、悪用です。


僕自身、昨年ヨドバシカメラのWebサイトのパスワードが破られ2万円分相当のポイントが盗まれると言う被害にあいました。


そこで今回はパスワードについてまとめていきたいと思います。



パスワード解読の方法

ハッカーやクラッカーなどの人たちがパスワードを狙って攻撃する方法はいくつもあるそうですが、中でもどうしようもないのがブルートフォースアタックと呼ばれる総当たりの解読法です。

総当たり攻撃とは、暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。例としては、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999まで)を片っ端から試す方法と同じで、この「片っ端から」でいずれ正解に行き着こうというものである。
人間による操作ではとても気が遠くなるほどの時間と肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。
Wikipediaより


これは、文字どおり総当たりなのでどんなパスワードでも時間さえあればいつかは解読されてしまうというものになりますので決定的な防止方法はないのが実情です。


しかし、パスワードが困難になればそれだけ”諦めてくれる”可能性は高くなります。

パスワードの組み合わせには何通りの数があるのでしょうか?

1桁 4桁 5桁 6桁 7桁 8桁
数字のみ 10通り 1万 10万 100万 1000万 1億
英数字 36通り 167.9万 6047万 21.7億 783億 2兆8千億
英数字(大小文字) 62通り 1477万 9.1億 568億 3.5兆 218兆


と文字の種類や桁数を増やしていけばいくほど天文学的にそのパターンは増えていきます。
これを時間にするとどうなるでしょうか。
仮に、1つのパスワードに対するトライ&エラーが10μs(1/1000000秒)かかるとすると、

1桁 4桁 5桁 6桁 7桁 8桁
数字のみ 瞬殺 瞬殺 瞬殺 10秒 100秒 16.7分
英数字 瞬殺 16秒 10分 6時間 9日 326日
英数字(大小文字) 瞬殺 2.5分 2.5時間 6.5日 1.1年 69年


となります(実際にはもっと早いそうですが)。


空き巣は5分で侵入できなければ諦めると言います。
ハッキングやクラッキングの場合はパソコンにやらせるし、人目につかないのでそれよりは長くトライ&エラーをしそうですが、さすがに1日を超えてくるなどでは、他のIDとパスワードの組み合わせを探した方が効率的に思えるので実際には破られるリスクが少なくなると考えても良さそうです。


上記表からすると、英数字の組み合わせであれば、7桁を超えるのものであれば9日間以上かかるので強めのパスワードと言えそうです。
多くのサイトが8桁以上の英数字を使ってパスワード設定を求める場合が多いのも頷けます。



注意したいその他のパスワード

パスワードに含まれる文字列が、『意味のあるもの』である場合突破される可能性が高いようです。


これは、辞書攻撃といって特定のワードを中心にパスワードの解読をしていくという手法があるためです。
実際に以下のサイトで、JAPANやAMERICAなどの固有名詞を打ち込んでパスワードの解読までの時間を調査した場合、


INSTANTLY


と表示され、直ちに解読されてしまうとされています。
↓↓↓↓
How Secure Is My Password?


加えて、IDと同じ文字列がはいっている場合なども簡単に破られるようです。


まとめ

以上のことから、

  1. パスワードは簡単に破られるものと思っておく
  2. 8桁以上の英数字の組み合わせを使用する

 →実際には、サイトで使用できる英数字・記号を組み合わせて作成すると強度が上がります

  1. 意味のある文字列にはしない


ということがパスワード解読をさせないための護身術と言えそうです。
とはいえ、これでもサイバー攻撃の標的となってしまう可能性は残っているため、

  • 定期的にパスワードを変更する
  • 同じパスワードを使いまわさない

などの古典的かつ地味な方法を取っていくことが身を守ることになりそうです。