パスワードでセキュリティを確保する時代の終焉が近いのでしょうか

山本一郎です。大規模なアイスコーヒーを摂取したところ、腹が大規模に冷えて大規模な(略

ところで、また大規模な不正アクセス事件が発生しております。

GREEで不正ログイン 3万9590件のアカウントに影響(ねとらぼ 2013/8/8)

「じゃらんnet」でも不正ログイン判明、2月と6月に計2万7620アカウント(INTERNET Watch 2013/8/8)

いずれの事件に関しても、不正アクセスの手法は「第三者が外部から不正に取得したID ・パスワードを使用し、会員本人になりすましてログイン」(INTERNET Watch)したものと見なされています。基本的にはGREEはざまあみろなんですが、じゃらんはたまに利用しているだけに心配です。

また、こんな事件も起きています。

ネットバンク不正送金 1万5000台感染か(NHKニュース 2013/8/9)

インターネットバンキングを巡る不正送金事件が相次ぐなか、預金者のIDやパスワードを盗み出すウイルスに、国内でおよそ1万5000台のパソコンが感染していた可能性が高いことが分かり、警視庁は不正アクセス禁止法違反の疑いでウイルスの発信元の特定を進めています。

出典:NHKニュース

ここ最近、約4か月間に起きた不正アクセス事件の状況をまとめたブログ記事がありましたのでご紹介しておきます。

まだまだ続く不正ログイン事件(セキュリティは楽しいかね? Part 2)

こうして一連の事件をリストにして並べてみると、もはや不正アクセス事件というのはなにも特殊なものではなく、日常茶飯で起きるありふれた出来事の一つくらいに考えた方が良いのかもしれません。上記ブログ記事で引用されていますが、Akamaiの報告によれば、こうした不正アクセスのための情報(IDとパスワード)は情報交換サイトで大量にやりとりされ、そうした情報を使って不正アクセスするための自動化ツールによりEコマースサイトなどは絶えず攻撃に晒されているのが現状のようです。

日本セキュリティ・マネジメント学会常任理事でもある萩原栄幸氏がコラム記事で、パスワードというセキュリティがいかにして破られるかを具体的に分かりやすく紹介されておりますが、これを読むと、一旦流出してしまったIDとパスワードの組み合わせなどを続けて使うのはありえないというお話でもあります。

パスワードクライシス・前編 パスワードって何だ?(ITmedia 2013/8/9)

昨今の不正ログイン攻撃の場合もそうだが、犯人は今ではターゲットのPCやサーバの中の文字列を拾いながら、自動的にそのターゲットに合わせた「ユーザー辞書」を生成し、手軽に攻撃できるようにしている。(中略)数年前にある中規模企業で従業員のパスワードをクラックするテストとした。1人当たり2分程度だけクラックした。計算上解析の可能性としては全体でたった0.00001人未満であったが、現実には数百人分のパスワードを解明できてしまった。要するに多くの従業員が辞書攻撃でクラックされてしまったということである。

出典:ITmedia

さらに、パスワードが漏洩する機会はどこにでもあるという一例としては、こんな話も。

Google Chromeに保存したパスワードが丸見えに、開発者が問題指摘(ITmedia 2013/8/8)

例えば職場でユーザーが席を外している間に他人が操作するなど、コンピュータに物理的にアクセスできれば誰でもChromeに保存されたパスワードをのぞき見ることができてしまう

出典:ITmedia

もはや、本当に攻撃しようという意図をもった相手を前にしてしまうと、パスワードという仕組みだけでセキュリティを確保するのは相当に難しい時代になってしまったなという感慨が大きいです。いよいよスマホが当たり前となり、これまでWebサービスなどを使ったことのない人が大量に流れ込んできて生まれてはじめてIDとパスワードを使った認証サービスを使い始めるこのタイミングは、何か最悪の事態がいつ起きてもおかしくない可能性も孕んでいて、正直ちょっと空恐ろしい気分でもあります。

Androidは東南アジア向けなど廉価版が大量普及し、これからが地獄だと指摘する専門家が多いわけですが、はっきりいって、根本的なところで対策をどう取ったらいいのか分かりません。今後は脆弱なデバイスを通じて、輸送機関や電力会社、水道会社など、インフラに近いところで騒擾が大規模に起こる可能性もあり、そろそろ我が国も真面目に対策予算を組んで取り組むべき時期に来ているのではないでしょうか。