(※この記事は、2024年3月21日に更新されました。)
サイバー犯罪者は、パスワードクラッキング/ハッキングの手法を常に開発しており、その手口はますます巧妙になっています。現在では、AI を応用して単純なパスワードを簡単に解読することが可能になっており、その証拠に、PassGAN のような新しい AI ソリューションでは、システムに入力された一般的なパスワードの半分以上が60秒以内に解読されています。AIによるパスワードクラッキングの驚異的な発展が、多くのIT企業やチームの意思決定者に新たなセキュリティ上の懸念を与えていることは間違いありません。
簡単にハッキングされるパスワードは、組織内のネットワークに重大なシステム侵害を引き起こす可能性があります。このような事態は、機密データや企業資産に壊滅的な結果をもたらすこともしばしばあり、個人情報の漏洩という重大なリスクを伴うことも忘れてはなりません。
そこで、急速に進化する AI によるパスワードクラッキングに関する重要なインサイトを以下の5つ観点から見ていきます。
- 突破または漏洩している限り、パスワードは AI によって100%解読可能である。
- 高度な AI パスワードクラッキングツールは、一般的なパスワードの81%を1ヶ月もあれば突破することができ、1日あればそのコード化された文字列のほとんどを解読することができる。
- トップクラスの AI パスワードクラッキングだと、実行犯は水面下で侵入活動を自動化でき、それによってこれまで以上に捕らえるのが難しくなっている。
- AI パスワードクラッキングツールは、侵害されたパスワードデータを使って機能を進化させるので、最適な保護のためには、チームが最新のサイバーセキュリティ対策を講じることが不可欠である。
- チームは、通常のパスワード衛生習慣を最適化することで、AI パスワードクラッキングのリスクを大幅に減らすことができる。
この記事では、AI のパスワードクラッキングの仕組み、企業に対するその他のサイバーセキュリティの脅威、そしてこれらの問題を防止するためのパスワード衛生のベストプラクティスをご紹介します。
目次
AI はパスワード解読に使えるの?
現代のサイバー犯罪者は、PassGAN のような新しい AI ソリューションを使って、一般的なパスワードを簡単に解読する可能性があります。このような高度なパスワードクラッカーは、人間が生成したルールに基づく従来のパスワード推測ツールとは異なる動作をします。
代わりに、これらのハッキングツールは、機械学習(ML)に基づいて性能を上げることができる AI チャットボットのように機能し、PassGAN のような高度なパスワードクラッキングソフトウェアは、人間の脳に似た方法でデータを処理するようコンピュータに教える人工ニューラルネットワークを通じて「パスワード学習」を行います。具体的には、PassGAN は(データセットから供給される)偽パスワードと実際に破られたパスワードのパターンを区別し、将来のパスワードを予測して解読します。言い換えれば、AIのパスワードクラッキングは適応的に機能し、準備の整っていないセキュリティシステムに重大な脅威をもたらす可能性があるということです。
AI パスワードクラッキング以外に考慮すべきその他の脅威
AI パスワードクラッキングは、サイバーセキュリティの脅威リストに加えられ、より高度な技術的能力とともに拡大し続けています。以下は、企業のサイバーセキュリティ保護とパスワード管理を計画・実行する際に注意すべき最もよくある脅威の一部です。
フィッシング
フィッシングとは、ソーシャルエンジニアリングの手法の一つで、多くの場合、信頼を与えるような偽の身元を装ってユーザーを欺くことを指します。なりすましの攻撃者は、信頼されたユーザーとのやり取りを利用して、個人情報や認証情報を盗み出します。
フィッシングという悪質な行為は依然としてサイバー犯罪の最も一般的な形態であり、2023年には11秒ごとの攻撃で3,300万件のオンライン記録が影響を受けると統計も出ています。
ブルートフォース(総当たり)攻撃
ブルートフォース(総当り)攻撃とは、その言葉から想像できるように、セキュリティシステムが一致するものを見つけるまで、試行錯誤を繰り返しながら複数のパスワードを入力し続ける攻撃です。ブルートフォース攻撃者は通常、アカウントやネットワークに侵入する可能性を高めるために、一般的に使用されているパスワードの様々な組み合わせを入力し、攻撃者の中には、高度なスクリプトやボットを使用して、複数のパスワードを高速で送信する者もいます。
辞書攻撃
ブルートフォース攻撃と同様に、攻撃者はユーザーに関連する用語に基づいてパスワードの試行を絞り込むことで、より理路整然としたアプローチを取り、例えばサイバー犯罪者は、(おそらく SNS のプロフィールから推測される)ユーザーのメールアドレスやペットの名前に含まれる単語や文字を含める可能性があります。
パスワードを保護する方法: 5つの重要なヒント
信頼性の高いパスワード衛生のルーティンで、進化する AI ツールから大切な企業ネットワークとアカウントを守ることができます。そこで AI によるパスワードクラッキングを防ぐために実施できる効果的な対策を5つご紹介します。
1.強力なパスワードにこだわる
強力なパスワードだと、AI がその組み合わせを推測することが極めて難しくなります。少なくとも15文字で、(大文字と小文字のアルファベットを含む)アルファベット、数字、感嘆符のような記号を2つ含む長めのパスワード文字列だと、その複雑さと予測不可能性で AI は(解読できずに)推測し続けることになるので効果的です。
2.アカウント間でパスワードを再利用しない
どんなに複雑なパスワードでも、侵害されたデータベースに保存されていたのでは効果がなく、ましてや危険です。とある調査によると、確認されたデータ侵害の80%は、盗まれた、脆弱な、または使い回されたパスワードに起因してるという結果も出ています。そして高度な AI ソフトウェアは、流出した情報を活用し、ブルートフォース攻撃によって数秒でパスワードコードを解読することができます。おそらく、複数のアカウントでパスワードを使い回すことにおける最悪の事態は、たった一度のサイバー侵害で、管理ネットワークの隅々まで不正アクセスされる可能性があることです。
3.パスワードを頻繁に変更する
企業アカウントのパスワードを定期的に変更することで、AI は(パスワードを解読できずに)常に推測することになり、それによって AI によるセキュリティ侵害のリスクが下がります。TeamPassword のパスワードジェネレータを使えば、ワンクリックで強力な新しいパスワードを作成できます。
4.2FA(二要素認証)を有効にする
政府機関、銀行、企業は、最適化されたサイバーセキュリティのために2FA(二要素認証)を信頼しています。犯人はパスワードをクラッキングすることに加えて、ユーザーの登録デバイスとメールに送られる固有の OTP(ワンタイムパスワード)を提供しないといけないことから、この技術を設定することで、AI パスワードクラッキングのような脅威からパスワードを保護する層が追加されて、パスワードが強化されます。
5.パスワード管理ツールを使う
質の高いパスワード管理ツールを使えば、強固なパスワードの保存、共有、交換をスムーズに行うことができ、ロックアウトされるリスクを防ぐことができます。
TeamPassword の主な機能には、様々な部署やグループにまたがる複数のパスワードをシームレスに管理するためのグループ共有(必要に応じて権限を削除)や、アカウント保護を強化するためのオーセンティケータに同期された二段階認証などがあります。さらに、TeamPassword のパスワードマネージャーは Google のサインオンと統合され、それによって安全な連携や、許可されたアカウントユーザー全員への便利なアクセスが促進されます。
TeamPasswordでハッカーの攻撃を阻止しましょう!
AI によるパスワードクラッキングが普及するにつれ、組織には強固なパスワード管理ソリューションが必要となります。TeamPassword であれば、企業の認証情報を管理して保護するための安全で便利な方法がもたらされます。ぜひ今すぐ TeamPassword にサインアップして、ますます巧妙化が進む攻撃からアカウントを守りましょう。
