米政府のパスワードが盗み放題 安易に流れる人の性質を理解しよう

米国内務省がパスワードに関する内部調査を実施したところ、あまりにもサイバー犯罪者に有利な状況が明らかになった。

[Michael Kosak，Cybersecurity Dive]

　企業や組織はパスワード管理を強化しようとやっきになっている。だがうまくいっていない。

内務省のパスワードの2割が「盗み出される」

　米国内務省がパスワードに関する内部調査を実施したところ、サイバー犯罪者に悪用されやすい状況が分かった。

　この調査結果を引用し、分析したのはパスワード管理サービスを提供するLastPassのマイク・コサスク氏（シニアプリンシパル・インテリジェンスアナリスト）だ。以下の内容は同氏の寄稿だ。

　内務省内のパスワードには次のような弱点があった。

（1）パスワードの強化に役立つ多要素認証（MFA）の実装に一貫性がない

（2）時代遅れで効果のない簡易なパスワードが使用されていた

（3）脆弱（ぜいじゃく）なパスワードを使用している。内務省で繰り返し使われているパスワードの半分には「password」という単語やそのバリエーションが含まれていた（例えば「P@s$w0rd」など）

特権を持つユーザーのパスワードも駄目だった

　さらに悪い知らせもあった。

　内務省の監察官のチームが試したところ、省内の8万5944のアクティブユーザーのパスワードのうち、1万8174を盗み出すことに成功した。その中には、（システム権限などの）特権を持つ288のアカウントと、米国政府の上級職員の362のアカウントが含まれていた。

　同省のマーク・リー・グリーンブラット氏（監察官）は、同省が直面する課題の重大さについてワシントンポスト紙の紙面に詳述した（注2）。グリーンブラット氏は、官民の意思決定者に対して、自らの組織を厳しく見直すよう促した。

　「この問題が内務省に存在していたということは、連邦政府全体や全国のビジネスオフィス、個人宅にも存在する恐れがある」

　勇気付けられるニュースもある。パスワードに関するセキュリティが今や最重要課題であり、組織全体のセキュリティ体制に不可欠な要素だと広く認識されていることだ。しかし、認識があったとしても必ずしも行動に結び付くわけではない。

　残念ながら、サイバーセキュリティに対する意識と、優れたサイバーセキュリティの実践との間にはいまだに高い壁が存在している（注3）。

パスワードに関する「アプローチ」を変えよう

　内務省の報告書は、犯罪者がいかに簡単にパスワードを解読できるかを示した。しかし、「password123」症候群に陥る人があまりにも多いのは、複雑なパスワードを覚えるのが難し過ぎるからだ。ここでいうpassword123症候群とは安易なパスワードを付けるユーザーを言う。

　企業や組織がどんなに強力なパスワードポリシーを掲げていても、適切に実施されていなければ、全く意味がない。

　コサスク氏は国防総省に10年以上勤務していた。もちろん国防総省では複雑なパスワードを要求される。しかし、世界で最もセキュリティに気を配っている組織の一つにおいてさえ、人々は楽な選択をしようとする。

　コサスク氏はITパートナーと協力して、複雑なパスワードが要求されるような新しいアカウントを作成した。このITパートナーはコサスク氏に公式のパスワードポリシーに従いつつも、（ユーザーが使いにくくならないように）非常に推測しやすいパスワードを作成するような単純なパターンを使うようにアドバイスしてきた。

　ITパートナーが他の何人に同じアドバイスをしたか分からない。だが、パスワードポリシーに従っていながらも、全くユニークではなく、簡単に複製できるパスワードが大量に作成される恐れがあった。

　これが現実だ。だが、パスワードのセキュリティに関するアプローチを良い方向に変えることはまだ可能だろう。短期的な解決策もあれば、長期的な解決策もある。

・組織は強力なパスワードポリシーの採用をまず始めるべきだ
　米国国立標準技術研究所（NIST）のフレームワークは（注4）、連続した文字（例えば「1234」）や繰り返す文字（例えば「aaaa」）を避けるといった賢明なアドバイスを提供していて、最低基準として優れている。これでもユーザーの負担が大き過ぎるという主張があるかもしれないが、後から起こる情報漏えいに対処するよりはるかに負担が少ない。不必要なリスクを排除することは、ネットワークの安全性を確保するための必須条件だ。

・MFAを導入する
　パスワードがいざ漏えいしたときにMFAがあれば、セキュリティリスクをほぼ排除できる。MFAは認証プロセスに追加しやすいセキュリティのレイヤーだ。

　良いガイドラインがあったとしても、本当に実施されるかどうかは別の話だ。実施されるかどうかが重要だ。攻撃者が盗み出す（推測する）アカウントはわずか1つでよい。それだけでシステムにアクセスできる。内務省の政策には優れたものも多い。だが、内務省におけるパスワードポリシーが実施されていたのかいなかったのか、内部調査の報告書では少なくとも一貫性がないと指摘した。

　NISTが明らかにした通り（注5）、攻撃者はパスワードを破ることに長けている。パスワードのフィッシングは現実的に簡単だ。ソーシャルエンジニアリングを使って盗むことも簡単で、誰かが書き留めたパスワードを見つけることもたやすい。

　グリーンブラット氏はワシントンポスト紙のコラムで、彼の部署で安易なパスワードの利用をやめる必要があったことを説明した。グリーンブラット氏の対策は役立つ。無関係な単語をつなげて16文字以上にするパスフレーズだ（例えばship＋orange＋mountainで18文字など）。これは正しい方向への前進だ。

パスキーはより望ましい

　パスキーというパスワードレス認証でセキュリティを強化することもできる。これは暗号鍵のペアで実装されており、公開鍵はパスキーに対応したWebサイトで共有されるものの、秘密鍵はエンドユーザーのデバイスに隠されており、ユーザーや攻撃者が取り出すことはできない。エンドユーザーのデバイスに物理的にアクセスしなければ、パスキーで保護されたアカウントにアクセスすることは不可能だ。つまり遠く離れた攻撃者には手が出せない。

　Webサイトは公開鍵のみを保存するため、Webサイトが侵害されてもデータが盗まれるリスクはない。秘密鍵がないと何もできないからだ。

　このような技術的な変化を歓迎すべきだ。だが、長期戦に備える必要もある。コサスク氏の一番の希望は、今後数カ月ないし数年のうちに、パスワード（認証）の問題についてよりオープンに議論できる文化が醸成されて、状況が少しずつ変化していくことだ。私がグリーンブラット氏を評価するのは、彼が緊急の課題にスポットライトを当てる手助けをしているためだ。

　誰でも間違いを犯す。しかし、攻撃者の一歩先を行くことを望むのであれば、彼らから学ぶこともまた必要。

出典：Government investigation puts spotlight on password insecurity（Cybersecurity Dive）

注1：P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk（OFFICE OF INSPECTOR GENERAL）

注2：Opinion｜We cracked more than 18,000 passwords. Here are our tips.（The Washington Post）

注3：Psychology of PASSWORDS 2022（lastpass）

注4：NIST Special Publication 800-63（NIST）

注5：Easy Ways to Build a Better P@$5w0rd（NIST）