パスワードの監査方法

チームの中で誰か一人でもセキュリティの弱いパスワードを使っていると、チームのネットワーク全体が脅威にさらされることになります。同様に、チームのメンバーの誰かが、強力なパスワードをどこか違う場面で再利用し、それが盗まれてしまった場合も、ネットワーク全体が危険にさらされることになります。

パスワードは、ハッカーにとって侵入するための大きな突破口となっています。セキュリティを確保できるほど複雑なパスワードは簡単に覚えられないうえ、必要なパスワードの数は増え続けているため、ユーザーはパスワードを使い回すことが多く、それが大きなセキュリティリスクとなっています。

脆弱なパスワードや使い回されるパスワードによって、ネットワークの安全性は設計上よりもはるかに低くなっています。この状況を改善するには、まずはネットワーク上の『パスワード監査』が必要です。パスワード監査とは、ハッカーと同様のソフトウェアを使って、辞書攻撃（パスワードに使用されることの多い単語や人物名を組み合わせ、突破できるまで繰り返しログインを試行する方法）やブルートフォース攻撃（総当たり攻撃）などに対してネットワークをテストすることです。

パスワードの監査には、特殊なソフトウェアが使われ、あなたのネットワークが最大のセキュリティを実現できるように、セキュリティの弱いパスワードから盗まれたパスワードまで、パスワードの脆弱性をすべて洗い出すべく、あなたのネットワークへの侵入を試みます。

ITインフラストラクチャの保護には共有機能を備えたパスワードマネージャの使用が最善策ですが、TeamPasswordは、適切な人だけにパスワードがわかるように、高レベルの暗号化と二要素認証を提供しています。

共有パスワードのリストにアクセスする前には、誰でも個人のパスワードと短期間有効の認証コードを使ったプラットフォームへのログインが必要です。

チームで相互のアカウントにアクセスするのにパスワードの共有が必要なことがよくありますが、そのためにデータを危険にさらすのはナンセンスですよね。その代わりに、TeamPassword を使って、チーム内で安全にパスワードを生成、保存、共有しませんか？
‏‏
どこから手をつければいいかわからない場合は、TeamPassword の無料トライアルをお試しいただき、共有されたパスワードを一度完全に保護してみましょう。

パスワード監査の理由

実はパスワードには、「複雑でユニークなパスワードでないといけない」、「サイトごとに違うパスワードにしなければいけない」、「覚えておかないといけない」、「モニター上の付箋やエクセル表のファイルのような安全とは言えない所に保存してはいけない」など、致命的な弱点があるのです。しかし、人間の本質というのは避けがたいもので、推測しやすいパスワードを使ってしまっているのが現状で、安全なパスワードの目的とは逆行してしまっています。

もちろん、強力なパスワードマネージャーも有効ですが、その安全性と利便性を最大限に活用する前に、ネットワークへのアクセスに使われているパスワードが安全であることを確認する必要があります。

あなたのチームの全員が、パスワードを使い回すべきではないことを理解し、職場のログインや業務で使うツールのログイン全てに強固でユニークなパスワードを選んだとします。これはセキュリティ対策に対する意識が高くて素晴らしいことです。

では、さらに安全性を最大化するために、パスワードの複雑化を強制するとしましょう。全員が最低１２文字の長さのパスワードを選択しなければならず、小文字、大文字、数字、および記号をそれぞれ１ずつ含まないといけないという条件にすると、パスワードで使えるのは以下の要件を満たすものです。

• 小文字：abcdefghijklmnopqrstuvwxyz
• 大文字：ABCDEFGHIJKLMNOPQRSTUVWXYZ
• 数字：0123456789
• 記号：!@#$%^&*()_+{}|:"<>?~`-=[]\;',./

これも素晴らしい対策です。しかし、それで十分でしょうか？クラウドコンピューティング・プラットフォームを使えば簡単にできることですが、１秒間に20,000,000,000回の試行すればそのパスワードを解読するに、最大で約6,600年、平均でその半分の3,300年かかると言われています。これで問題解決したと思いますよね？

それが、チームがどのようなパスワードを選んでいるかによって変わるのです。本当にランダムなパスワードを選んでいるのであれば、誰もその暗号を解読することはできないでしょうが、ブルートフォース（総当り）攻撃が可能なパスワードと、簡単に推測できるパスワードには違いがあります。例えば、"Password#333 "は条件に合っていますが、"password "よりも推測に時間がかかるとは思えません。

これをきちんと理解するには、『ブルートフォース攻撃』と『辞書攻撃』の違いを理解しておく必要があります。ブルートフォース攻撃は、「aaaaaaaaaa」から始まり、「aaaaaaaab」と、パスワードが見つかるまでの間、繰り返します。

対して辞書攻撃は、辞書に載っている単語を全部試します。その辞書には、オックスフォード英語辞典全体も含まれるかもしれませんが、それをはるかに超えて、パスワードとしてよく使われる単語や、それらのパスワードのバリエーションが含まれます。例えば、「password」の他に、「p4ssw0rd」、「pa55word」、「passwordpassword」なども含まれるかもしれないですね。

パスワードはこの両攻撃から安全でなければならず、パスワードを監査することで、いずれかに問題があるかどうかを知ることができるのです。

恐喝メールやクレデンシャルスタッフィング攻撃（流出した認証情報を使って別のアカウントに不正アクセスする攻撃）、その他のパスワードの脆弱性による被害から会社を守りましょう。でもセキュリティは TeamPassword に任せて、みなさんはビジネスの成功に専念してください。 ‎‏‏‎ ‎‎ ‎

１４日間の無料トライアルに登録して、チームメンバーと TeamPassword をぜひお試しください。

パスワードの監査方法

パスワードの監査を行うには、専用のソフトウェアを使う必要があります。次のセクションで、パスワード監査のための一般的なツールをいくつかリストアップしますので、そのツールがどのような仕組みなのか見ていきましょう。

基本的にパスワード監査ツールは、ネットワーク上で使用されているパスワードの推測を試みます。辞書攻撃やブルートフォース攻撃などを組み合わせてこれを行い、例えば「盗用」など、パスワードが侵害される可能性のある他の方法について通知します。

パスワード監査の実施後は、ユーザーが漏洩したパスワードや脆弱なパスワードの変更を行えるよう、そのパスワードの問題点を通知することができます。

パスワード監査ツールをいくつかご紹介

ネットワーク上のパスワードを監査することになった際に、どのようなプログラムを使えばいいのでしょうか？ここでは、よく使われているパスワード監査アプリを５つご紹介します。

RainbowCrack

RainbowCrack はフィリップ・オシュラン氏の「より高速な時間とメモリの交換術」をベースにしています。これは可能な限りのプレーンテキストを生成し、それに対応するハッシュをその場で計算するブルートフォース・ハッシュクラッカーであり、次にそのハッシュとクラックされる必要のあるハッシュを比較します。

一致するものが見つかれば、そのプレーンテキストも見つかったことになり、逆に、可能性のあるプレーンテキストをすべてテストしても一致するものが見つからなかった場合、プレーンテキストは見つかっていないことになります。

ちなみにRainbowCrack は、時間のかかる計算を伴う事前の計算段階を必要とします。

Wfuzz

もう一つは、Web アプリケーションのブルートフォース攻撃対応にデザインされたツールである Wfuzz があります。元々はWebアプリケーションを評価するために作られたものですが、例えばディレクトリ、サーブレット、スクリプトなどの隠れたリソースを見つけるのにも使うことができます。

Cain and Abel

Cain and Abel はパスワード回復ツールであり、マイクロソフトのOSで利用できます。これを使えば、辞書攻撃やブルートフォース攻撃、暗号解読攻撃といったタイプの攻撃を使ったことによって失われたパスワードを回復することができます。

また、ごちゃまぜになったパスワードの解読、VoIP（Voice over Internet Protocol）の会話の録音、パスワードボックスの公開、キャッシュされたパスワードの発見、ワイヤレスネットワークのキーの回復、ルーティングプロトコルの分析も可能です。

Cain and Abel はもともと、ネットワーク管理者、教師、セキュリティコンサルタント、科捜研、ネットワーク侵入テスト実施者などが使うのに開発されたものです。

THC Hydra

THC Hydraは、Telnet、FTP、HTTP、https、smb、各種データベースなど５０以上のプロトコルに対して素早く辞書攻撃を行うことができるため、リモート認証サービスのブルートフォース攻撃を実行する際によく利用されます。

THC Hydraは、高速なネットワークログインのパスワードクラッキングツールであり、新しいモジュールを簡単にインストールし、機能を強化することができます。現在は、Windows、Linux、Free BSD、Solaris、OS Xで利用可能です。

Ncrack

Ncrack もまた、高速ネットワークの認証クラッキングツールですが、元々は、企業がホストやネットワークデバイスのパスワードに不備がないかをテストし、ネットワークのセキュリティを上げるためにデザインされたものです。

Ncrack で迅速かつ信頼性の高い大規模なパスワード監査が実現できることから、セキュリティの専門家にも使われています。さらに、柔軟なインターフェースによって、ネットワーク運用の完全なコントロールが可能です。

対応プロトコルは、RDP、SSH、HTTP（S）、SMB、POP3（S）、VNC、FTP、SIP、Redis、PostgreSQL、MySQL、Telnetです。

‏‏パスワードの監査でよく見つかる問題点

脆弱なパスワード

脆弱なパスワードは、短すぎたり、シンプルすぎて推測されやすいパスワードのことを指します。

短すぎるパスワードやシンプルすぎるパスワードは、突破するまでにテストできるパスワードの総数が、最新のCaaS（Computing as a Service）の機能に比べてあまりにも少ないことから、ブルートフォース攻撃によって簡単に発見されてしまいます。

また、例えば子供の名前など、あまりにもありきたりすぎるパスワードは、辞書攻撃に対して非常に脆弱です。

上記のような脆弱なパスワードが発見された場合は、直ちにパスワードを変更変更する必要があります。

パスワードの漏洩

盗用パスワードとは、オンラインで流出したパスワードのことであり、これは、ユーザー名とパスワードの組み合わせがどこかのサイトでハッキングされ、ハッカーが他のネットワークに侵入しようとする際に、その認証情報をテスト用の認証情報に統合することができる場合に起こります。

パスワードの使いまわしをしないように推奨しているにもかかわらず、大抵の人は定期的にパスワードを使いまわしているため、類似したパスワードがネットワーク上に現れる可能性が高いです。パスワードを使い回している場合は、早急なパスワード変更が必要になります。

同一パスワード

同じパスワードが複数のアカウントで使用されている場合、これもパスワード監査で発見される可能性のあるリスクです。こういった繰り返し使われる認証情報は、必ず交換しましょう。

期限切れのパスワード

セキュリティ要件によっては、パスワードが期限切れになることがあります。期限切れのパスワードが発見された場合は変更が必須であり、優秀なパスワード監査だと、現在期限切れのパスワードと、もうすぐ期限切れになるパスワードが表示されます。

パスワード監査でどのような問題が見つかったとしても、パスワードマネージャーの導入によって、ユーザーが強力なパスワードを作成できるようにすることができ、さらなる問題を防ぐためにできる最善策になります。TeamPassword を使うことでのみ、ネットワークセキュリティに積極的に参加するチームを促進することができるのです。

‏１４日間の無料トライアルに登録して、ぜひチームメンバーと TeamPassword をお試しください。