PR

 パスワードの管理はセキュリティ対策の基本中の基本。「アルファベットの大文字,小文字,記号,数字を9文字以上組み合わせて意味のない文字列にすべし」といった話はよく聞く。意味のない文字列でクラッカからの辞書攻撃から耐えられるようにし,文字種と文字数を増やして総当たり攻撃にも耐えられるようにするためだ。

 しかし,実際の運用はまるで逆。簡単で推測されやすいパスワードを使っているケースがとても多い。

 例えば,管理者のユーザー名やパスワードを初期設定のまま使っているケース。検索エンジンを使って,ネットワーク機器やサーバー・ソフトなどの管理者ユーザー名と初期パスワードが記されたリストを見つけるのは簡単だ。リストにはファイアウオールのようなセキュリティ的に重要な機器もある。こうしたリストが存在すること自体,「初期状態のパスワード」のままで運用しているネットワーク機器やサーバーが世の中にたくさんあることを表している。

 クラッカは攻撃対象の機器を見つけると,まずリストに記載された初期パスワードを試す。これで侵入できたらラッキーである。このように初期パスワードを使って運用している機器がある企業は,総じてほかの部分のセキュリティも甘い。

面倒だからでは済まされない

 「パスワードなし(ブランク)で運用しているサーバーを見かけたことは一度や二度じゃありません」と体験談を話してくれたのはネットワンシステムズの鈴木武氏。

 あるとき,鈴木氏は顧客企業の管理者に「なぜパスワードを設定していないのか」とたずねてみたことがある。その答えは「面倒だから」だった。これには,さすがに驚いたらしい。パスワードなしだったのが,サーバーの管理者アカウントだったからだ。

 ここまで極端な例は,さすがに少ないかもしれない。しかし,それなりのパスワードを設定していても,機器本体に管理者パスワードが貼り付けてあるケースはよく見かける。複数のスタッフで管理したいが,管理者アカウントを機器に一つしか登録できないときに起こりやすい。誰かがパスワードを変更したとき,それを聞き出す手間が省けるからだ。

個人のパスワード管理はもっとひどい

 個人のユーザーでも,パソコンのログイン・パスワードをブランクにしたり,管理者から与えられた初期状態のままだったり,アカウント名と同じにしていたりするケースは多い。

 どうしてそうなるかというと,変更するのが怖いからだ。あまりにも複雑なパスワードを設定すると忘れてしまったりする。だから,パスワードをブランクにしたり,初期状態のまま運用したり,本体に書いて貼ったりする。確かにパスワードは忘れないが,セキュリティはゼロに等しい。

 ここまで極端ではないにしても,会社のネットワークにログインするパスワードとネット・ショップに入るパスワードを同じにしていたりする人は多いのではないだろうか。しかし,ネット・ショップは自分の管理の目が届かないところにある。もしかしたら,大切なパスワードが漏れているかも知れない。

 オンラインの話ではないが,実話としてこんなものもある。最近のゴルフ場は貴重品を預けておくロッカーがあり,預けるときにユーザーが4桁の数字を暗証番号として打ち込む。これを脇からのぞき見した悪者が,ロッカーの財布からキャッシュ・カードを抜き出して勝手に現金を引き出してしまうという話だ。これは,キャッシュ・カードの暗証番号とロッカーに打ち込んだ暗証番号を同じにする人が多いという点を突いた犯罪である。

被害は会社全体に及ぶ

 話をネットワーク・セキュリティに戻そう。いい加減なパスワード管理の話には「攻撃されるような会社じゃない」とか,「自分のパソコンにはたいした情報が入っていないから大丈夫」といった言い訳がつきものだ。インターネット セキュリティ システムズ(ISS)の高橋正和氏は「危険性の認識が甘過ぎる」と警告する。クラッカの攻撃だけが問題ではないからだ。

 最近のウイルスは下手なクラッカ並みの侵入能力を持っている。例えば,感染するとネットワーク上のサーバーへアクセスを試みるウイルスには,空白や1文字,サーバー名と同じといったありがちな(推測しやすい)パスワードを試したりする。2003年3月に発見されたDeloderがそうだ。

 こんなウイルスが社内に侵入したとしよう。もし自分のパソコンをパスワードなしで運用していたら,社内の誰かがウイルスに感染した時点で自分にもウイルスが送り込まれてくる。逆に自分がサーバーにログインするときのパスワードをブランクに設定していたら,感染した自分のパソコンからウイルスの被害を会社のサーバーへ広げることになる。

 よくやってしまいそうだが,セキュリティ的には絶対にやってはいけない『禁じ手』は,パスワード管理以外にもたくさんある。ご興味があれば,日経NETWORK2004年5月号特集2『セキュリティの禁じ手,べからず』をのぞいてみて下さい。

(三輪 芳久=日経NETWORK)