海の向こうの“セキュリティ”

サイバー犯罪の投資対効果と業務パスワードの傾向

~Trustwaveによる2014年のセキュリティ動向調査レポート~

 米セキュリティ企業Trustwave社は6月9日、2014年の世界の「セキュリティ」に関する調査レポート「2015 Trustwave Global Security Report」を公開しました。内容は盛りだくさんで、文量は100ページを超えていますが、Executive Summaryが2ページで簡潔にまとめられているので、まずはこれだけでも読む価値はあるでしょう。

 今回はこの中から2つのトピックに絞って紹介します。

サイバー犯罪の投資対効果は1425%

 本レポートの中で、いくつかのメディアで報道されるなど特に注目を集めたのは、サイバー犯罪の投資対効果(ROI)が1425%にも及ぶとしている点です。かねてよりサイバー犯罪は、既存の物理的な犯罪に比べて費用対効果が高いと言われていましたが、それを具体的に示すものと言えます。レポートの中では、マルウェアの販売など実際に存在するサイバー犯罪を支援するサービス(ビジネス)を例に挙げ、具体的な内訳を示して説明しています。

 例えば、ランサムウェアに感染させるサイトを用意し、そこにアクセスして感染したユーザーをだまして金銭を支払わせるという犯罪を1カ月間行うとします。このような犯罪を行うためにはマルウェア配布サイトを用意するなどの事前準備が当然必要で、それにかかる費用はおおよそ以下のようになります。

マルウェア配布サイトを用いた犯罪の1カ月間にかかる経費
Payload$3,000
Infection Vector$500
Traffic Acquisition$1,800(= $300/5日 × 6サイト)
Daily Encryption$600(= $20/日 × 30日)
$5,900

 ここで、各々の費目は以下のようになります。

Payload:
ランサムウェア等マルウェアの購入費。

Infection Vector:
マルウェアに感染させるための手法の使用料。多くの場合、電子メールなどで感染サイトに誘導し、exploit kitを使って脆弱性を悪用する。この例は、exploit kitの1カ月間のレンタル料で、感染率10%から15%を見込めるものの金額。

Traffic Acquisition:
マルウェア配布サイトの使用料。この例は、1日あたり2万人のアクセスが見込めるサイトを使う場合の金額。サイトは5日ほどで活動を停止するので30日間の使用には6つのサイトが必要となり、サイト1つあたりの使用料は$300なので30日間で計$1800。

Daily Encryption:
マルウェアを検知されにくくするためのカモフラージュとして暗号化を使う場合の費用。この例は、1日1回で$20、1カ月で計$600。

 次に、実際に犯罪を実行して得られる収益の見込みは以下のようになります。

マルウェア配布サイトを用いた犯罪の1カ月間で得られる収益見込み
訪問者数20,000人/日
感染率10% → 2,000人/日
支払率0.5% → 10人/日
支払額$300/人
期間30日
$90,000

 したがって、この例での投資対効果は約1500%(≒$90,000/$5,900)となります。

 ただし、この結果はあくまでTrustwaveが調査した時期のものに過ぎないという点に注意が必要です。一般的にこのようなサイバー犯罪の仕組みやそれを支援するサービスは日々刻々と変化しており、金額も大きく変化すると言われています。あくまで「スナップショット」として冷静に捉える必要があるでしょう。

業務で使われるパスワードにありがちなパターン

 本レポートでは、15カ国574件のデータ侵害について調査した結果として、28%が弱いパスワードが原因としています。特にPOS(Point of Sale)システムが狙われたケースでは50%を占めているそうです。これに関連して、業務で使用されているパスワードについて調査した結果も掲載されています。

Trustwaveが49万9556件のハッシュ化されたパスワードを調べたところ、その51%が24時間以内に、また88%が2週間以内にパスワードを解読できたそうです。また、業務で使われているパスワードで最も多いものを順にまとめたのが以下の表です。

1Password14585
2Welcome13690
3P@ssword3120
4Summer1!1960
5password1694
6Fa$hion11313
7Hello1231196
8Welcome1231143
9123456q@1078
10P@ssword1921

 単純な英単語なのは5位の「password」だけで、他はアルファベットの大文字と小文字、数字、記号を組み合わせていますが、類推可能なものが多いことが分かります。人間が思いつくことができ、かつ記憶できるものとなるとどうしてもこのレベルに落ちてしまうのでしょう。

 また、全体から見ると少数ですが、パスワードに含まれる「キーワード」に共通性があるものをまとめたのが以下の表です。

Top 2,000 Baby Names37,1528.4%
U.S. City Names22,0134.98%
Top 100 Dog Names4,6861.06%
Top 1,000 World Cities(By Population)2,9020.66%
U.S. State Names5420.12%

 さらに、パスワードの長さをまとめたのが以下の表です。

1から64,7201%
717,8534%
8170,78139%
997,68622%
1069,24116%
1137,1138%
1222,4175%
138,0912%
145,1411%
15から262,521<1%

 これは使用しているシステムが許容する長さにも依存しますが、8文字が4割近くと最も多く、10文字を超えるものは合計しても2割に満たないとの結果になっています。

 パスワードで使用されている文字種についてまとめたのが以下の表です。

1Lowercase + Uppercase + Number259,02359%
2Lowercase + Uppercase + Number + Special73,61117%
3Number + Special40,3429%
4Lowercase + Number39,1489%
5Lowercase Only11,5263%
6Lowercase + Uppercase + Special5,8131%
7Lowercase + Number + Special4,5971%
8Uppercase + Number + Special3,597<1%
9Uppercase + Number1,302<1%
10Number Only876<1%
11Lowercase + Special837<1%
12Lowercase + Uppercase808<1%
13Uppercase + Special323<1%
14Uppercase Only151<1%
15Special Only6<1%

 Trustwaveによれば、以前に比べて複数種の文字を組み合わせたパスワードは増えて来ており、「5種類(アルファベット大文字、小文字、数字、記号、Copyrightマークや¥のようなユニコード特殊記号)のうち3種類以上」を使用しているパスワード(これはActive Directoryの標準パスワードポリシーを満たしている)が大多数を占めています。また、2013年に最も多かった「アルファベット小文字と数字のみ」というケースは今回の調査で4位に後退しています。しかし、パスワードクラッキングを実行して確認した結果としては、複数種の文字を組み合わせた「だけ」では必ずしも「セキュア」にはなっていないとの結果も出ているようです。

 ここまではパスワードに関する調査レポートとして比較的よく目にする項目でしたが、少々変わった観点で、文字種の並び方をまとめたのが以下の表です。ここでUはアルファベット大文字、Lは小文字、Nが数字です。

ULLLLLNN21,9754.97%
ULLLLLLN19,4924.41%
ULLLLLLNN15,0963.42%
ULLLLLLLN13,9873.16%
ULLLNNNN11,8092.67%
ULLLLNNN10,8502.45%
ULLLLLNNNN10,7762.44%
ULLLLLLLNN10,6702.41%
ULLLLNNNN9,5222.15%
ULLLLLLNNNN7,3181.66%

 個々のパターンは全体から見れば少数ですが、少なくとも先頭の1文字が大文字で、その後に小文字が続いて最後に数字というパターンが合計して3割を占めるというのは充分に偏りがあると言えるでしょう。

 このような実際に使用されているパスワードに関する情報を公開することについては、サイバー犯罪を行なう者にエサを与えるようなものと考える人もいるかもしれません。しかし、本気の犯罪者はこのような情報をとっくに手に入れているのです。むしろ、このような情報を公開することで、現在使っているパスワードの危険性を知らしめることの方がはるかに大事でしょう。

 本レポートを参考に、パスワードの設定を見直すだけでなく、そもそも「生身の人間が考えて記憶して使用するパスワード」に限界があるわけですから、認証の仕組み自体を見直して別の方法を導入することを検討してもよいかもしれません。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。