メディア
コラム
» 2019年10月18日 08時00分 公開

あの大物がパスワードを解析されたのに大喜び、その理由とは?:534th Lap

最近は生体認証の発達と普及によってパスワードの入力が不要なシーンも見られる。しかし、まだまだパスワードから離れられないのが現実だ。パスワード不要の世界は来るのだろうか……。

[キーマンズネット]

 このインターネット時代に、安易なパスワード設定や複数IDの使い回しは禁物だ。生年月日や自分に関係のある英数字はできるだけ避け、多くは他人に見破られないよう複雑なパスワードを設定するものだ。これなら安全だと頭をひねって考えたパスワードが、第三者に見破られてみようものなら慌てずにはいられないだろう。

 しかし、自分のパスワードを他人に見破られたにもかかわらず、慌てるどころか賛辞を送った豪傑がいたというのだ。それは誰で、いったい何があったのか……。

 これは、2019年10月9日、イギリスのテックサイト「The Register」が報じたものだ。

 2014年、UNIXの生みの親の一人として知られるケン・トンプソン氏と旧知の仲であるリア・ノイキルヒェン氏は「BSD」(カリフォルニア大学バークレー校が開発、配布したUNIX系OSおよびその周辺ソフト群)の古いソースコード配布サイトからとあるファイルを発見した。

 そのファイルは、トンプソン氏をはじめ、彼とともにUNIXの開発に取り組んだデニス・リッチー氏とブライアン・カーニガン氏、スティーブ・ボーン氏、ビル・ジョイ氏らが当時使っていたと思われるパスワードのハッシュコードだった。

 ノイキルヒェン氏はそんな偉大な先人たちのパスワードに大きな興味を持った。当時、パスワードに使われていたアルゴリズムはDESベースの「crypt(3)」で、使用できる文字は最大8文字、しかもキーボードから入力できる文字に限られていた。ノイキルヒェン氏は「これなら簡単に解析できる」と考え、「John the Ripper」や「hashcat」といったハッカー御用達のパスワードクラッキングツールを使い、ハッシュコードからパスワードの解析を始めた。

 20個にも及ぶハッシュコードはすぐさま解析できた。意外にも「bourne」のようにスティーブ・ボーン氏の名前がそのまま使われたものだったり、「...hello」のような簡単なものだったり、「uucpuucp」といったUNIXのプロトコル「UUCP」を重ねたもので、それほど複雑なものではなかった。

 ところが、トンプソン氏が使用していたと思われるパスワードのハッシュコード「ZghOT0eRm4U9s」については、難航した。ノイキルヒェン氏は、「これは総当たりで解析するしかない」と考えたが、冷静に考えると最新のGPUを使っても7年はかかりそうだ。総当たりでの解析を断念し、他のハッカーたちに解析を託したのだった。

 そこから数年が経過した。オーストラリアのITエンジニア、ナイジェル・ウィリアムズ氏がそのパスワードの解析に成功したというのだ。最新のGPU「AMD Radeon RX Vega 64」とhashcatを使い、約930MH/s(メガハッシュ毎秒)という速度で丸4日間の演算を実行することで解析に成功したという。ウィリアムズ氏は、メーリングリストで「『ZghOT0eRm4U9』とは『p/q2-q4!』である」と宣言した。でも、「p/q2-q4!」て何だ?

 実はこれ、チェスの棋譜の表記方法なのだという。「p/q2-q4!」は「クイーンの前にあるポーンを2マス前に進める」という意味だ。チェスの定石中の定石ともいえる初手で、「クイーンズポーンオープニング」と呼ばれる。トンプソン氏はチェスの名手でもあったことから、この文字列をパスワードとしたのだろうと推測される。

 このことが明らかになると、トンプソン氏は「congrats.」(おめでとう)とメーリングリストに投稿した。簡単な言葉ではあるが、パスワードの解析に成功したウィリアムズ氏を称賛したのだった。解析者をたたえたトンプソン氏の姿にこそ、素直に賛辞を送りたいものだ。


上司X

上司X: UNIXの父、ケン・トンプソン氏のパスワードが破られて話題になっている、という話だよ。


ブラックピット

ブラックピット: そしてトンプソン氏は「おめでとう」と賛辞を送ったと。いい話じゃないですか。さすが大物、と賛辞を送りましょう。


上司X

上司X: キミに賛辞を送られても、という気はするけどな。しかし、チェスの棋譜をパスにするとはなかなかのセンスだな。


ブラックピット

ブラックピット: 一見、意味のある文字列には見えないですけどね。


上司X

上司X: 本人にとっては意味があるもので、忘れにくい、そして他人に知られたとしても理解できないというのがパスワードとしては理想なんじゃないか。


ブラックピット

ブラックピット: まあそうなのでしょうけど……。それにしても、8文字のパスワードなら、記号と大文字、小文字をそれぞれ織り交ぜてもほんの数日で解析される時代なんですね。


上司X

上司X: まあ今回見つかったハッシュコードは何年も前にハッシュ化されたものだから、解析にそれほど苦労するような関数ではないし……。


ブラックピット

ブラックピット: でも、解析できるのは事実でしょう? 誰もがトンプソン氏みたいに解析されて「よくやった」とは思えないですよ。漏れたらいろいろ大変ですもの。


上司X

上司X: そう考えると、生体認証技術は有効なんだな。最近のスマホは生体認証機能を搭載したものも増えてきたが、問題はPCだな。生体認証に対応するPCも増えつつはあるが……。仕事で使うだけに、なんとかしないとなー。パスワードをその辺にメモるのだけはやめておけ、とキミに強く警告しておくよ。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。