パスワードクラック
TVドラマ「半沢直樹」が高視聴率を続けています。コロナ禍で3カ月遅れのスタートとなった新シーズン。今週からは後半戦が始まり、ますます面白い展開になってきました。私はTVドラマをオンタイムで見ることなど殆どないのですが、「半沢直樹」だけは別。日曜夜9時は、大好きなプロ野球中継をスマホに切替えて、毎週ワクワクしながら観ています。
このドラマ、本当に良くできているなと毎回関心するばかり。令和版水戸黄門?と言われるように、悪役退治の爽快感は言うまでもなく、それに至るストーリーも配役も見事です。
中でも秀逸なのが、少し詳しい人間からみると「おいおい!」と突っ込みを入れたくなるスレスレの違和感を、各所に散りばめているところ。非専門家から見ると細かくてわからない、もしくは多少の違和感程度で済む部分も、その道の人間が見ると「それはないよ~」と、思わず声を挙げたくなるポイントが随所に出てきます。金融の人間はもちろん、法律やITやM&Aの人間など、それぞれの得意分野に対し、わざとネタを提供してくれているような気さえします。
今作でも、証券会社が利用するクラウドサービスに保存されている買収計画データを、証券取引等監視委員会が探し出すというシーンがありました。その鍵を握ったのが「6桁の英字パスワード」…いやいや、ないない(笑)。うちの会社だってもっと複雑なパスワードルールが設定されているし、ましてや証券会社が最重要機密情報を6桁英字パスワードだけでクラウド保存しているなんて、「それはないよ~」と思わず言いたくなしました。そこで今回は簡単にパスワードの重要性を書いてみたいと思います。
今回のシーンのように、不明パスワードを割り出す行為を、「パスワードクラック」と言います。もともとは、忘れてしまったパスワードを割り出すためであったり、セキュリティレベルが低いパスワードを設定しているユーザを見つけることを目的としたシステム管理者ツールでしたが、これを悪用するケースが後を絶ちません。パスワードクラックの代表的なものに、「総当たり攻撃」「辞書攻撃」「類推攻撃」などがあります。
「総当たり攻撃」は、「ブルートフォースアタック」とも言われ、考えうる「全ての」パスワードを順に試すという単純ものです。理屈の上では、試行回数に上限が無いならば必ず成功(見破られる)します。ドラマで証券取引等監視委員会が使っていたのはこの手法。そうなると、我々が考えるパスワードは無抵抗と思われますが、以下のような理屈で、やはりパスワードは重要と言えます。
例えば、英字(26文字)のみ使用の6桁パスワードの場合、26の6乗通り(約3億通り)が存在することになります。この程度の件数は、現在のパソコン性能をもってすれば30分もあれば、簡単に見破られてしまいます。これをひと手間掛けて8桁にします。すると26の8乗通り(約2,000億通り)となり、解析には半月ほどかかることになります。たったの2文字を追加するだけで、簡単に見破れないパスワードになるのです。
さらにひと手間掛け、8桁に英数記号を含めます。すると93種類の文字を指定することが可能となり、その組み合わせの数は93の8乗通り(約5,600兆通り)になり、一気に1,000年「ブルートフォースアタック」を続けなければ、解読されないことに理屈上はなるのです。
いかにパスワードの文字数、桁数が大事なのか?お分かりいただけるでしょうか。パスワードクラックは「ブルートフォースアタック」だけではありませんが、少なくとも桁数や文字種に気を付けていれば、「ブルートフォースアタック」に対して無抵抗ではないのです。
先日放送された「半沢直樹」の第5話の視聴率は25.5%で令和ドラマNo,1になったそうです。平成に続き令和でも金字塔を打ち立てました。その決めぜりふはご存知の通り「やられたらやり返す。倍返しだ!」ですが、みなさんもパスワード管理を面倒くさがって簡単なものばかり使っていると、とんだ「倍返し」を食らうかもしれません。ご注意を。
