IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

Inst. Tech View

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第27回 パスワードについて(2) 2013年7月

 今回のInst. Tech Viewは、第22回に続いてパスワードについての話題です。

 前回も記しましたが、昨今、他人のアカウントを不正に乗っ取ろうとする攻撃が後を絶ちません。今年に入ってからも誰もが知っているいくつかの有名なSNSに対しても、そのような攻撃が行われたことがニュースになっています。
 もし自分自身のアカウントが攻撃を受けてしまい、万が一適当なパスワードが設定されてしまっていると簡単に乗っ取られてしまうことになりかねません。

 前回に引き続いて、今回もそのような攻撃を受けた場合でも容易にアカウントが乗っ取られないようにするために、どのようなことを意識してパスワードを設定したら良いかについて紹介します。皆様にとってもパスワード設定は身近なもので定期的に行っている作業かと思いますので、参考にしていただければ幸いです。

 さて、前回ではパスワードクラッキングツール(パスワードを何度も試してログインを試みる攻撃ツール)の挙動を紹介し、その防御のための効果的なパスワードとして以下の3点を挙げました。

  • 辞書に載っている単語をパスワードに設定しない
  • パスワードの文字数をできるだけ長くする
  • パスワードに大文字や数字・記号も含める

 これらを意識してパスワードを設定することで、パスワードクラッキングツールを使用した攻撃に対し防御性を高められます。

 ただし、他人のアカウントを不正に乗っ取る攻撃パターンはパスワードクラッキングツールを使用したものだけとは限りません。今回はその他の攻撃パターンを紹介し、それらに対し効果的に防御性を高める方法の一つをご紹介いたします。

 まず、パスワードクラッキングツール以外の攻撃パターンの代表的なものは以下のとおりです。

1. 他サイトで使用されているユーザー名/パスワードの使用

 攻撃者がWebサイトに不正にアクセスして入手したユーザー名とパスワードを、別のWebサイトで試す手法です。たとえ推測しづらいパスワードを設定していたとしても、複数のWebサイトで同一のユーザー名とパスワードを設定していた場合、簡単にアカウントを乗っ取られてしまいます。

2. リバースブルートフォースアタック

 パスワードを固定してユーザー名を総当たりで試すパスワードクラッキングの手法です。前回紹介したとおり、ブルートフォースアタックはユーザー名を固定してパスワードを総当たりで試すパスワードクラッキングの手法です。
 それに対して、固定にする箇所をパスワードにしたものがリバースブルートフォースアタックです。この攻撃は簡単なパスワードが設定されているアカウントに対して非常に効果的です。

3. ウイルスに感染したPCからのユーザーID/パスワードの流出

 ウイルスの中には感染したPCからユーザーIDやパスワードを盗むものがあります。
 ウイルス感染の代表的な経路は、添付メール・Webサイトの閲覧・OSやアプリケーションの脆弱性の利用などが挙げられます。

 1番目に対しての効果的な防御方法に「複数のWebサイトで同じパスワードを使用しない」、2番目に対しての効果的な防御方法に上に挙げた3つのパスワードクラッキングツール対策、3番目の攻撃例に対しての効果的な防御方法に「OSやソフトウェアの状態をできるだけ最新の状態にする」ことが挙げられます。
 これによりWebサイトの閲覧やOSやアプリケーションの脆弱性を利用した感染を防ぐことができます。ただ、これら3つや前回取り上げたパスワードクラッキングツールを含め、すべての攻撃パターンに対しての効果的な防御方法として「2段階認証の利用」があります。

2段階認証

 2段階認証は、従来のユーザー名とパスワードの入力の後、「確認コード」を入力させる認証方式です。正しいユーザー名とパスワードが完了されると、アカウントの正規の利用者に対して「確認コード」が送付されます。正規の利用者への確認コードの送付手段はメールや携帯メール、電話による音声通知、専用アプリによる通知などがあります。
 送られてきた「確認コード」を入力するとアクセスが許可されます。
 なお、確認コードは毎回変わるため、攻撃者が入力したユーザー名とパスワードが合致した場合でも確認コードを合わせることが難しいため、アカウントが乗っ取られることをより困難にすることができます。

 この2段階認証は様々なパスワードクラッキングの対策として非常に効果的なため、GoogleやYahoo、Facebookなど多くの代表的なWebサービスでの導入が進んでいます。認証時の手間が増えますが、これらのサイトを利用している方でよりセキュリティを高めたい方は、利用の検討をお勧めいたします。

 なお・・・
 CTC教育サービスではパスワードクラッキングをはじめとしたコンピュータへの様々な攻撃手法の実態と、その対策方法を紹介するコースを提供しております。
 セキュリティ関連の知識を向上させたい方のご受講を心よりお待ち申しております。

■■■ コースの詳細情報 ■■■  ※価格はメルマガ配信時点の価格です。

N472:実践!コンピュータセキュリティ
   ~ハンズオンで学ぶハッキング手法とその対策~
期間:2日間
価格:\105,000(税込)

LI39:Linux OSセキュリティ
   ~Linuxシステムへの攻撃手法と、その防御方法について~
期間:3日間
価格:\119,700(税込)

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート