パスワードクラッキングの手口と認証強化策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

パスワードクラッキングの手口と認証強化策

2011/08/23


 パスワードクラッキングは古典的で代表的な不正アクセス手法。ところが未だに根絶できないどころか、Gumbler攻撃をはじめとした大規模な不正アクセスの根元にもなっている。一度不正ログインを許すと、外部と通信するマルウェアを埋め込まれ、自社システムが何も関係のない第三者のシステムを攻撃する「踏み台」にされてしまうこともある。安全なパスワードを作って運用しようと言うのは簡単だが、エンドユーザはもちろん管理担当者でさえもルールをおろそかにしてしまうことがあるのが現状。今回は、パスワードクラッキングの手口と、その対策について考えていく。

パスワードクラッキング

知らぬ間に社内システムが踏み台に!始まりはSSHパスワードのクラッキングから

 パスワードクラッキングは、ターゲットとなるシステムにアクセスするためのパスワードを不正に入手したり、クラッキングツールで生成したパスワードをログインするために送信して成功を待ったりする不正アクセスの方法だ。
 Webシステムでは、数回連続してログインパスワード認証に失敗したら、その後数分間から数時間はアクセスが拒否される(ロックアウト)仕組みがとられている。これならあらかじめパスワードがわかっている場合でなければクラッキング成功の確率は低い。しかし、管理者用のプロトコルを利用して、管理用のシステムにログインする場合には、ロックアウトの仕組みが作り込まれていないことが多い。
 Gumbler攻撃の場合は、Webサイトを管理するためのFTP接続で、管理者のパスワードが盗まれた。またシステム管理用にtelnetなどの暗号化されないプロトコルの代替として、安全な暗号化方式を利用するSSHが使われているが、そのログインのためのパスワードがクラッキングされる事件が何度も起きている。
 管理者が使う、システム管理のための通信路として用意されているSSHは、システム障害時にリモートからシステムにアクセスする命綱のようなものだ。ミッションクリティカルなサーバ用には公開鍵認証やワンタイムパスワード認証によるログインの仕組みが用いられているが、あまり重要でないシステムではまだパスワード認証が使われているケースも多い。障害時にもリモート操作ができるようにと、ロックアウトの仕組みをわざと省いてシステムが作られていることがほとんどなので、狙われるとクラッキングが成功しやすいのだ。しかも、正規のユーザはたいていシステム管理者なので、不正なログインに成功すると、管理者権限によって重要なファイルを改ざんしたり、システム設定に変更を加えたりと、やりたい放題ができてしまいがちだ。

図1 SSH サービスの検出と、検出したSSH サービスに対する認証試行・侵入
図1 SSH サービスの検出と、検出したSSH サービスに対する認証試行・侵入
出典:警察庁「SSH サービスに対する攻撃について」

 実際にSSHのパスワードがブルートフォースと呼ばれる方式で破られた事例では、自社のシステムにまったく関係のない第三者のシステムにSSHスキャンと呼ばれるパスワードクラッキングを仕掛けるマルウェアが仕込まれた。それと同時に、管理者権限でログインできるバックドアが仕掛けられ、さらにはロジック爆弾と呼ばれるマルウェアにより、サーバは再起動不能状態に陥り、大事なデータも破壊されるという深刻な事態にまでエスカレートした。
 この事件そのものは数年前のものだが、古典的な手法でも企業システムの盲点をついて大きな被害を起こしうることを知らしめた。


1

パスワードクラッキングの手口とは

 現在でもこの事件のシステムのように、対策の甘いシステムは残っていると思われる。なにより、攻撃者はパスワードクラッキングがお好みのようだ。パスワードクラッキング用のツールは、今では非常に簡単に手に入る。また使い方も簡単なので、試しに使ってみようという者も現れやすい。

1-1

ブルートフォース攻撃

 パスワードクラッキングで昔からよく使われてきたのが、ブルートフォース攻撃だ。これは文字や数字、記号のすべての組合せでパスワードを生成し、全部を試してみるという手法だ。この手法でクラッキングされていることに被害者が気づかなければ、いずれは必ずクラッキングが成功する。成功するまでの想定時間が数十年以上の単位であれば、まずは安心と思ってもよいだろう。しかし、例えばアルファベットだけの組合せのような単純なもので桁数が少なければ、攻撃ツールによって数秒程度でクラッキングできてしまうことがある。
 このスピードはCPU性能の向上により、年々速まっているので、今まで安全と思っていたパスワードでも最新PCによれば危険圏内だということがありうるので注意したい。ちなみに、3年前のIPAによる計測では表1のような最大解読時間が記録されている。現在ではこれよりも相当に短い時間での解読が可能だと考えられる。

表1 使用できる文字数と入力桁数によるパスワードの最大解読時間
表1 使用できる文字数と入力桁数によるパスワードの最大解読時間
※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。
(使用パソコン OS:Windows Vista Business 32bit版/プロセッサ:Intel Core 2 Duo T7200 2.00GHz/メモリ:3GB)
資料提供:IPA

セキュリティ情報局にご登録頂いた方限定で「パスワードクラッキングの手口と認証強化策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

パスワードクラッキング/パスワードクラッキングの手口と認証強化策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「パスワードクラッキング」関連情報をランダムに表示しています。

パスワードクラッキング」関連の特集


 スマートフォンは携帯電話端末の高機能化・オープン化が進んだものと位置づけることできるが、従来PC向…



セキュリティ対策の基本である「認証」。そのレベル向上の手段として注目されているワンタイムパスワードを…



情報漏洩の大半が内部犯行によるデータベースの不正使用が原因。実際の事件を教訓に、DBセキュリティへの…


「その他エンドポイントセキュリティ関連」関連の製品

接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】 Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。

「その他エンドポイントセキュリティ関連」関連の特集


サポート切れのシステムを継続して利用することのリスクや想定される被害を解説。放置すると攻撃の踏み台に…



 システムを発注する立場で現場を見ていると様々な課題がある。発注側がIT企業ではなく、システムの開発…



 情報処理推進機構(IPA)では情報セキュリティ対策の普及・啓発活動を実施しており、その一環として様…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004297


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ