www.youtube.com 本動画では、平成27年春期情報セキュリティスペシャリスト試験の午後I問3を題材に、Webサイトに対するパスワード攻撃の脅威と対策について解説します。数字6桁固定という脆弱な設定を突いた不正アクセスの手口から、ハッシュ化の問題点、そして多要素認証などの現代のセキュリティ対策までを分かりやすく学べる内容です。情報セキュリティの基礎を固めたい方に最適です。 学習すべき重要なキーワードについて説明します。まず一つ目はリバースブルートフォース攻撃です。これは逆総当たり攻撃とも呼ばれ、特定の利用者IDに対して様々なパスワードを試す通常のブルートフォース攻撃とは異なり、一つのよく使われるパスワードを固定し、多数の異なる利用者IDに対してログインを試行する攻撃手法です。Z社のインシデント事例では、同じ接続元IPアドレスから異なる利用者IDに対して特定の数字6桁の固定パスワードを用いた攻撃が行われました。IDごとに一定回数ログインに失敗するとアカウントロックがかかる仕組みであっても、この攻撃手法では一つのIDに対する失敗回数が分散されるため、アカウントごとのロック機能をすり抜けてしまうという特徴があります。これに対抗するためには、単位時間当たりの同一IPアドレスからのログイン試行数を監視し、しきい値を超えた場合にそのIPアドレスからの接続をブロックするなどの対策が必要となります。 二つ目のキーワードはレインボーテーブルです。システム上でパスワードを安全に保存するためにハッシュ化という不可逆の変換処理が行われますが、単純にハッシュ化された文字列のみを保存している場合、あらかじめ膨大な文字列の組み合わせとそのハッシュ値を計算してデータベース化したレインボーテーブルを用いることで、漏えいしたファイルから元のパスワードを即座に解析・推測されてしまう危険性があります。これを防ぐための不可欠な対策がソルトです。ソルトとは、パスワードのハッシュ値を計算する際にパスワードに付与されるランダムなデータのことです。アカウントごとに異なるソルトを設定し、パスワードと結合した上でハッシュ化して保存することで、ハッシュ値が複雑になり、レインボーテーブルを用いたパスワードの推測攻撃を無効化することができます。 三つ目のキーワードはパスワードリスト攻撃です。これは、攻撃者が何らかの方法で他社サイトなどから不正に入手した利用者IDとパスワードのリストを用い、標的となるWebサイトに対してログインを試行する攻撃手法です。多くの利用者が複数のWebサイトで同じパスワードを使い回しているという実態を悪用したものであり、システム側でパスワードの文字種や長さを複雑なものに変更したとしても、使い回しがある限り防ぐことが難しいという厄介な特徴を持っています。これに対する有効な対策としては、利用者に他のサイトで使っていない独自のパスワードを設定するよう注意喚起することに加え、現代のセキュリティ標準となっている多要素認証やFIDO2などのパスワードレス認証を導入し、パスワードそのものに頼らない仕組みを構築することが挙げられます。これらの知識はセキュリティ対策の基本となります。