PR
京セラコミュニケーションシステム株式会社
プロダクトサービス事業本部 技術顧問
徳丸 浩

 Webサイトの管理システムに対する認証には,現在でもパスワードが広く利用されている。パスワード攻撃とは,なんらかの方法でパスワードを推測して,そのパスワードを用いてシステムに侵入する手口を指す。

 パスワードを知る手段としては,(1)ネットワーク盗聴,(2)総当たり的な試行,(3)ソーシャル・エンジニアリング的な手法などがあるが,インターネットからの攻撃の多くは(2)の総当たり的な試行によるものと考えられる。ネットワーク盗聴やソーシャル・エンジニアリングは,ある程度ターゲットを絞った攻撃に利用される。

 パスワード攻撃は非常に古典的な手法であるが,現在でも頻繁に発生している。公表された事例では,2007年3月14日にはてなのSSHサーバーが外部から総当たり攻撃を受けて侵入され,ボットをインストールされる事件が発生した 。2006年11月には,ネット証券のWebサイトに大手SI事業者の社員が自作のツールを使ってパスワード攻撃を仕掛け,成功している(この社員は2007年3月に不正アクセス禁止法違反の疑いで逮捕された)。これらはWebサイト改ざんが目的ではなかったが,同じ手法はWebサイトの改ざんにも利用できる。

 例えば先に紹介したMPackがサーバーに侵入する手段として,FTPのパスワード攻撃を利用しているという報道がある 。さらには,盗まれたFTPアカウントのデータベースが発見されたという報道もある。

パスワード攻撃の手口

 それでは,実際のパスワード攻撃の手口を見ていくことにしよう。「総当たり攻撃」と呼ばれる手法でも,すべての文字の組み合わせを機械的に試す方法では効率が悪い。先に紹介したネット証券の事例でも,手製のプログラムを2日間実行した結果,26人分のパスワードが得られたと報道されている。機械的な試行ではここまでの効率化は難しい。

■機械的な試行は非効率なので辞書を使う
 そこでよく使われるのが,「辞書」を使う方法である。パスワードに利用されやすい単語の統計情報などを基に作られた,パスワード攻撃用の辞書が出回っているし,現実サイトのパスワードの利用実態を示す統計も公表されている。

 例えば米国の大手サイトMySpaceのフィッシング事件で押収された証拠に,3万4千件のパスワード・データがあった。パスワードとしてよく利用されている言葉の統計である。これによると,最多は「password1」で0.22%。このほか,「abc123」と「myspace1」がともに0.11%だった。以下,password,blink182,qwerty1,fuckyou,123abc,baseball1,football1,123456と続く。「password1」の0.22%は小さい数字に思えるかもしれないが,アカウントを順に試して1000件のうち2件あたれば,コンピュータにとっては何でもない処理で,非常に効率のよい攻撃といえる。

図1●辞書攻撃のイメージ
図1●辞書攻撃のイメージ
 インターネットなどで流通しているパスワード攻撃ツールには,このような「辞書」を備え,かつ辞書中の単語と数字や記号を組み合わせたパターンを試行できるようになっているものがいくつもある。図1に辞書攻撃のイメージを示した。