パスワード類推攻撃の危険性は過小評価されている　ほか

パスワード類推攻撃の危険性は過小評価されている

　パスワード破りの手法として、対象となる人物の氏名や生年月日などの個人にかかわる情報からパスワードを類推するというのは、昔から比較的よく知られています。しかし、そのようなパスワードの類推が実は比較的容易であり、多くの人が考えている以上に危険であるとする研究結果が発表されました。

　これは、英ランカスター大学と中国・北京大学などの研究者らによる調査研究で、10のサービスから実際に漏えいして公開されたパスワードと個人情報をもとに分析したものです。

　発表された論文によると、研究者らが開発した「TarGuess」と呼ばれる仕組みを使えば、1ユーザーあたり最大100回の試行で、一般のユーザーで73％以上、セキュリティに詳しいユーザーでも32％以上のパスワードを推測できてしまうそうです。ちなみに米国立標準技術研究所（NIST：National Institute of Standards and Technology）のガイドラインによれば、パスワードの試行は30日間で100回までに制限することが求められています。また、ここで「セキュリティに詳しい（security-savvy）」ユーザーとは、主にセキュリティの専門家が使用しているサービスのユーザーで、一般のユーザーよりもパスワードの使い回しが少なく、複雑なパスワードを使う傾向があるとのことです。

　個人情報が分かればパスワードの類推が容易になるのは確かであり、さまざまな方法で対象となる人物の情報を聞き出したり、調べ上げたりすることで、パスワードを推測してアカウントを乗っ取る事件は実際に日本でも発生しています。

　これに対し、今回、研究者らが警鐘を鳴らしているのは、近年、大規模な個人情報（パスワードを含む）の漏えい事件が多発しており、パスワードの類推に必要な情報が手に入りやすくなっているという点です。論文によれば、サービスごとにパスワードを変えていても、ある1つのサービスで使われているパスワード（論文では「sister password」と表現）と、氏名や生年月日、電話番号などの個人情報が分かれば、他のサービスで使われているパスワードを効率的に推測することが可能なのだそうです。

　「TarGuess」が具体的にどのようなアルゴリズムでパスワードを推測するかについての詳細は論文をご覧になっていただくとして、今回指摘されているポイントは基本的に納得のいくもので、意外なものではありません。それでも、一般ユーザーの73％以上、セキュリティに詳しいユーザーでも32％以上のパスワードが推測できてしまうという結果は衝撃的です。今回の研究結果は、IDとパスワードのみによる認証の危険性を改めて強く訴えるもので、人間が思いつき、かつ覚えられるパスワードには強度に限界があることを示しています。パスワードに個人情報から推測可能な文字列を含めず、可能であれば多要素認証を使うのはもちろん、パスワード管理ソフトを使うなどしてパスワードをランダムな文字列に設定するといった工夫が必要でしょう。

Akamaiの第3四半期レポート

　Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2016年第3四半期版を公開しました。ポイントは以下の通りです。

2015年第3四半期との比較

• DDoS攻撃全体は71％の増加
• インフラ層（第3、4層）の攻撃は77％の増加
• 100Gbpsを超える攻撃は138％の増加（8件から19件に）

2016年第2四半期との比較

• DDoS攻撃全体は8％の減少
• インフラ層（第3、4層）の攻撃は8％の減少
• 100Gbpsを超える攻撃は58％の増加（12件から19件に）

ウェブアプリに対する攻撃の2015年第3四半期との比較

• ウェブアプリに対する攻撃全体は18％の減少
• SQLインジェクション攻撃は21％の増加
• 米国を発信元とする攻撃は67％の減少

ウェブアプリに対する攻撃の2016年第2四半期との比較

• ウェブアプリに対する攻撃全体は4％の減少
• SQLインジェクション攻撃は6％の増加
• 米国を発信元とする攻撃は13％の減少
• ブラジルを発信元とする攻撃は79％の減少

　上記以外で特に注目すべきは本連載の10月の記事でも紹介した米国の有名セキュリティ情報サイト「Krebs on Security」が9月に623Gbpsという大規模な攻撃を受け、同サイトをこれまで無料でホスティングしていたAkamaiがサービスを取りやめた事件でしょう。これはAkamaiが経験した過去最大の攻撃であり、しかも近年主流のリフレクション攻撃ではなく、攻略されたIoT機器（ルーター、ネットワークカメラ、デジタルビデオ録画機）などで構成されているボットネットによる攻撃だったことから世界中で大きな注目を集めました。第2四半期に比べて（DDoS攻撃自体は減っているものの）大規模な攻撃が増えていることを示す一例とも言えるでしょう。今回のレポートでは、この件に関して2.4節で数ページにわたって経緯を含め、詳細に解説しています。

　これらの注目点などをまとめたエグゼクティブサマリーの日本語版も公開されていますので、詳細はそちらをご覧ください。以降は、本連載でこれまでAkamaiのレポートを紹介してきた際と同様のポイントをピックアップします。

　まず、第2四半期のDDoS攻撃の内訳を見てみます。前四半期同様「UDP Fragment」が他を圧倒しています。

　内訳の1年間での推移を示したのが以下の図です。攻撃件数自体は前四半期に比べて全体に減っていますが、内訳の割合に大きな変化は見られないようです。

　DDoS攻撃の発信元を国や地域別でまとめたのが以下の図です。中国と米国がトップ2を占めている状況は3期連続で変わりませんが、前四半期に極端に増えた中国の割合が、その前とほぼ同レベルに減っています。

　攻撃の内訳では「UDP Fragment」が多いですが、攻撃のタイプで見れば、リフレクション攻撃が51％を占め、最も多くなっています。そこで今回のレポートでもリフレクション攻撃に限定してまとめた結果が掲載されています。

　なお、リフレクション攻撃で最も多いのはDNSなのですが、DNSのリフレクション攻撃に使われるパケットは正規のパケットと区別がつかないことが多いため、以降で紹介するデータではあえてDNSを含めていないことに注意が必要です。

　まず、リフレクション攻撃の発信元をAS番号別にまとめたのが以下の図です。「Other」が圧倒的に多いので、個別の値にどれだけの意味があるのかは少々疑問もありますが、日本のISPも含まれています。

　リフレクション攻撃の内訳をまとめたのが以下の図です。NTPの多さが目を引きます。

　前四半期との比較をまとめたのが以下の図です。全体に減ってはいますが、TFTPが大きく減っているのが目立っています。

　続いて、ウェブアプリに対する攻撃の内訳を見てみます。今期も「SQL Injection（SQLi）」と「Local File Inclusion（LFI）」が圧倒的多数で上位を占めています。

　ウェブアプリに対する攻撃の発信元を国や地域別にまとめたのが以下の図です。前四半期は初めてブラジルがトップとなりましたが、今期は再び米国がトップに戻っています。一方、オランダが2番目で米国に迫る割合に急増している（前四半期は3％）のも目を引きます。この結果については、攻撃者がプロキシを経由するなどして攻撃元を隠蔽しているため、経路の最終出口（プロキシ等）のIPアドレスのある国や地域が上位を占める結果になっているとの分析がなされています。

　攻撃先を国や地域別にまとめたのが以下の図です。今回も米国が他を大きく引き離してトップとなっています。ちなみに日本は前四半期の1％から3％に増えています。

　DDoS攻撃もウェブアプリに対する攻撃もどちらも件数自体は前四半期よりも減少していますが、少なくともDDoS攻撃に関しては1年前よりも増えていますし、「Krebs on Security」に対する攻撃のような大規模で新しい攻撃が確認された点は注目に値します。引き続き情報収集をはじめとする警戒は当然ながら必要でしょう。