28.3K Views
September 01, 24
スライド概要
【第11回】サイバーセキュリティ勉強会2024夏 in 塩尻
https://shiojiri-cyber.connpass.com/event/319879/
キタきつね 氏
結局、パスワードは使い回されている ~古くて新しい「人の脆弱性」解消のヒント~
脆弱なパスワード設定や使い回しが、依然として多くのサイバーインシデントの要因となっています。AIやGPUの進化により、パスワード解読のスピードが飛躍的に向上しており、フィッシングサイト等による認証情報の漏洩も続いています。そうした脅威に対抗するための日本語を使ったパスワード(パスフレーズ)強化方法について解説します。
🤔I'm a beginner.
結局、パスワードは使い回されている ~古くて新しい「人の脆弱性」解消のヒント~ 2024年8月31日 キタきつね(セキュリティリサーチャー) © 2019 キタきつね
【スピーカー略歴】 ・セキュリティリサーチャー 兼 セキュリティ/生成AIニュースウォッチャー ・Fox on Security(http://foxsecurity.hatenablog.com/)ブログを主催。 ・ブログは、2017年11月の開設から累計90万アクセス *2024年7月末現在 ・専門はPCI DSS、現職にて15年以上のセキュリティ監査対応経験有 @foxbook https://note.com/north_fox 【現職】 都内某セキュリティ関連企業勤務 (セキュリティコンサルタント) 【保有資格】 ・PCI Professional (PCIP) キタきつね 【社畜人生で一番自慢できること】 「ビル・ゲイツに命令したことがある」 © 2024 キタきつね 2
金融系の統計データ インターネットバンキング利用者の ID・パスワード等を盗み、預金を 不正に送金する事案が多発しています 番号盗用の手口としては、EC加盟店やPSP等に対す るサイバー攻撃のほか、カード利用者からクレジッ トカード番号等(カード情報)を窃取する目的で、実在 のサービスや企業をかたり、偽のメールや SMS (携帯電話のショートメッセージ)で偽サイトに誘 導し、カード情報を入力させるなどにより窃取する、 いわゆる「フィッシング」などがある。 ※出典:クレジットカード不正利用被害の状況について (一般社団法人日本クレジット協会, 2024/7) ※出典:フィッシングによるものとみられるインターネットバンキング による預金の不正送金被害が急増しています。(金融庁, 2024/1/24) © 2024 キタきつね 3
今年を代表するサイバーインシデント ■Ticketmaster、AT&T等が影響を受けたSnowflake サプライチェーン攻撃に対するMandiantの見解 脅威アクターは、これらの盗まれた資格 情報を使用して顧客の Snowflake イン スタンスにアクセスし、最終的に貴重な データを盗み出しました。侵害の時点で は、アカウントで多要素認証 (MFA) は 有効になっていませんでした。 ■KADOKAWA(ドワンゴ)インシデントの推定原因 現時点ではその経路および方法は不明であ るものの、フィッシングなどの攻撃により 従業員のアカウント情報が窃取されてし まったことが本件の根本原因であると推測 されております。 ※出典:KADOKAWAリリース(2024/8/5) ※出典:UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (Mandiant, 2024/6/11) © 2024 キタきつね 4
2024年度 DBIR データ漏洩/侵害調査報告書(ベライゾン) この「攻撃経路」という分析をさらに掘り下げるために、私たちは データの新たな切り口を提示しています。それは、さまざまなタイ プの攻撃とその最も人気のある攻撃経路を重ね合わせることで、攻 撃への対応や対策に集中することを可能にします。図7でその結果を ご確認ください。 「フィッシング」攻撃のほとんどがメールを媒介にしていることは 自明ですが、ここでは、「認証情報の悪用」と「脆弱性の悪用」が どちらも攻撃経路がWebアプリケーションに集中していることに注 目したいと思います。「基本Webアプリケーション攻撃」のパター ン(クラウドベースのメールやコラボレーションアカウントへの不 正アクセス)では、「認証情報の悪用」の占める割合が大きいため、 この図に「認証情報の悪用」が含まれていることは驚くことではあ りません。しかし、最近のバイアスが、脆弱性の悪用の蔓延を疑わ せるかもしれません。本報告書は2024年初めに執筆されているため、 仮想プライベートネットワーク(VPN)ソフトウェアにおけるゼロ デイ(またはゼロデイに近い)脆弱性に焦点を当てています。 出典:2024年度 DBIR データ漏洩/侵害調査報告書 (ベライゾン, 2024/7/26) © 2024 キタきつね ※本日は触れませんが、IT管理者の方は非人間アイデンティティ(APIキー、 サービスアカウント、システムアカウント、Oauthトークン等)の潜在リスク も高くなってきていますのでご留下さい。 5
古くて新しい「人の脆弱性」 河野太郎デジタル相(衆院神奈川15区)は5日の閣議後のオンライン会見で、 出版大手KADOKAWAなどの企業や団体を襲ったサイバー攻撃を巡り、大半の ケースで「パスワード管理など、やるべきことをやっていれば何とか対応できた」 との見方を示し、経営課題としてセキュリティー意識を持つ必要性を強調した。 サイバー攻撃が頻発する現状を「今やサイバー攻撃を受けている企業と、攻撃を 受けているが気付いていない企業の2種類に大きく分かれると言ってもいい」と分 析。原因としては「パスワードの流出やパスワードが推測可能だったことがきっか けとなって侵入を許してしまったケースが7、8割あると言われている」と説明し た。 企業・団体に対してはパスワード管理などセキュリティー対策の強化とともに 「企業のトップにサイバーセキュリティーに関する意識を持つことをお願いしてい きたい」と述べた。 ※出典:神奈川新聞(2024/7/5) © 2024 キタきつね 6
とある業界レジェンドのお言葉 突然ですが・・・ 「やがては、人々がパスワードに頼るこ とがますます少なくなっていくだろう。 ユーザーはいま、さまざまなシステムで 同じパスワードを使い回したり、パス ワードを紙に書きとめたりしている。こ のような状況では、本当に保護したいも のに対応できない」 © 2024 キタきつね ※写真はDALL-E生成のイメ 7
8文字パスワードハッシュの解読時間 MD5だと瞬殺~1時間 ※RTX4090条件 ※出典:Are your Passwords in the Green? (Hive Systems) © 2024 キタきつね 8
8文字パスワードハッシュの解読時間 bcryptでも「数字のみ」「小文字のみ」は危ない ※出典:Are your Passwords in the Green? (Hive Systems) © 2024 キタきつね 9
Bcrypt適切に使っているから大丈夫そう・・・ とあるIT管理者のつぶやき © 2024 キタきつね 10
そうは問屋が卸さない 窃取パスワード、辞書単語、パスワードの使い回しの解読結果 ※bcrypt x RTX4090条件 即座に解読 ※出典:Are your Passwords in the Green? (Hive Systems) © 2024 キタきつね 11
あなたのパスワードが漏洩している!? 過去最大規模の漏洩パスワード集「RockYou2024」 ※前回の「RockYou2021」は約84億件のパスワードリスト 10 Billion Rockyou2024 パスワードコンピレーション こんにちは、 今年のクリスマスは早く来ました。99億以上のパスワードを含む新し いrockyou2024パスワードリストをお届けします! 過去と今年のさまざまなフォーラムで流出した最近のデータを収集して rockyou21を更新しました。 また、新しい4090を使っていくつかの古いものも解読しました。これ には実際のユーザーからの新しいパスワードが含まれています。 ※出典: RockYou2024: 10 billion passwords leaked in the largest compilation of all time (cybernews, 2024/7/4) ここに含まれる隠された情報を見るには、返信するか「いいね」をク リックする必要があります。 これを作るのに頑張りました。お楽しみください! © 2024 キタきつね 12
よくあるセキュリティ教育 自社・自組織のセキュリティ教育が、 ここで止まってませんか? ※出典:サイバーセキュリティ対策9か条(NISC) © 2024 キタきつね 13
結局、パスワードは使い回されている Top200 Most Common Passwords 2023 worst passwords of 2013 *SecureIDNews Rank Password 1 123456 password 12345678 qwerty abc123 123456789 111111 1234567 iloveyou adobe123 123123 Admin 1234567890 letmein photoshop 1234 monkey shadow sunshine 12345 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 © 2024 キタきつね Rank Password 123456 2 admin (Down1) 3 12345678 (-) ユーザーは10年経っても弱いパスワードを使い、 4 123456789 (Up1) パスワードを使い回しているという“事実” 5 1234 (Down1) 6 12345 (New) 7 password (Up2) 8 123 (Up5) 9 Aa123456 (Up2) 10 1234567890 (New) 11 UNKNOWN (Up5) 12 1234567 (New) 13 123123 (New) 14 111111 (Down7) 15 Password (New) 多くの管理端末を抱える“管理者”も同じ状況に 16 12345678910 なっている可能性が高い (New) 17 000000 (Down11) ※企業・組織を狙ったサイバー攻撃では非常に怖い問題 18 admin123 (-) 19 ******** (Down5) 20 user (New) (Up1) 1 Time to crack it Count < 1 second 4524867 < 1 second 4008850 < 1 second 1371152 < 1 second 1213047 < 1 second 969811 < 1 second 728414 < 1 second 710321 < 1 second 528086 < 1 second 319725 < 1 second 302709 17 minutes 240377 < 1 second 234187 < 1 second 224261 < 1 second 191392 < 1 second 177725 < 1 second 172502 < 1 second 168653 11 seconds 159354 < 1 second 152497 1 second 146233 14
突然ですが・・・ パスワードの終焉が見えた 「やがては、人々がパスワードに頼るこ とがますます少なくなっていくだろう。 ユーザーはいま、さまざまなシステムで 同じパスワードを使い回したり、パス ワードを紙に書きとめたりしている。こ のような状況では、本当に保護したいも のに対応できない」 *Bill Gates, RSA Conference © 2024 キタきつね “2004” CNET Japan ※写真はイメー 15 ※写真はDALL-E生成のイメージで
土台はパスワードの“はず” ・・・ ■よくある(たまに見かける)会員サイトの運用実態 多要素認証(MFA)の1要素はID/パスワード MFAだから大丈夫は本当? IDは、連番又はメールアドレス縛り IDが「容易に推測できる」のも実はリスク 記号が使えない又は桁数制限が短いオレオレ会員サイト NIST推奨?何それ美味しいの? © 2024 キタきつね 16
パスワードのアキレス腱は「人間の記憶力」 ■管理者が目を背けたくなる「パスワード管理」に関する統計データ 平均的なユーザーが所有するパスワードは約100個 *NordPass 2020年調査 パスワードを使い回す理由は『忘れてしまうから』64.1% ※IPA2014年調査 フィッシング攻撃を経験しても57%は使用習慣を変えない ※Yubico2019年調査 → パスワード教育に問題があるのでは? © 2024 キタきつね 17
本当に怖いレインボーテーブル Top200 Most Common Passwords 2023 Rank Password MD5 hash 1 123456 admin 12345678 123456789 1234 12345 password 123 Aa123456 1234567890 UNKNOWN 1234567 123123 111111 Password 12345678910 000000 admin123 ******** user e10adc3949ba59abbe56e057f20f883e 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 © 2024 キタきつね 21232f297a57a5a743894a0e4a801fc3 25d55ad283aa400af464c76d713c07ad 25f9e794323b453885f5181f1b624d0b 81dc9bdb52d04dc20036dbd8313ed055 827ccb0eea8a706c4c34a16891f84e7b 5f4dcc3b5aa765d61d8327deb882cf99 202cb962ac59075b964b07152d234b70 afdd0b4ad2ec172c586e2150770fbf9e e807f1fcf82d132f9bb018ca6738a19f 696b031073e74bf2cb98e5ef201d4aa3 fcea920f7412b5da7be0cf42b8c93759 4297f44b13955235245b2497399d7a93 96e79218965eb72c92a549dd5a330112 MD5、SHA-1、SHA-2等、主要 なハッシュ関数において、ソル トやストレッチング等のレイン ボーテーブル対策が講じられて いない場合、ハッシュ化された パスワードが解読できてしまう 可能性があります dc647eb65e6711e155375218212b3964 432f45b44c432414d2f97df0e5743818 670b14728ad9902aecba32e22fa4f6bd 0192023a7bbd73250516f069df18b500 47c6b15aca93873f58522f26300d181d ee11cbb19052e40b07aac0ca060c23ee ※レインボーテーブル:平文とハッシュ値の対応(逆引き)表 18
「長く」て「覚えられる」鍵は“ローマ字” 自分だけが知っていること (Something You Only Know) KairyuNo@Hakaikou1000 (カイリューのはかいこうせん) お気に入りのポケモンの必殺技(21文字) Rikujo-bu&89-bu (陸上部・野球部) 中学・高校の部活(15文字) 自分の好きなこと (Something You love) Kaizokuo2OrewaNaru!!! (海賊王におれはなる!!!) 好きな漫画の名台詞(21文字) #Nanakorobi8Oki# (七転び八起き) 好きなことわざ・格言(16文字) 暗記した無駄な記憶 (Memorized useless memories) ※出典:一般社団法人日本プライバシー認証機構 (JPAC) , 2019/7/8 © 2024 キタきつね 1192Tsu96_KamakuraBakufu (1192つくろう鎌倉幕府) 間違った日本史知識(→現在は1185年)(24文字) SuiheiRibe##Bokunofune (水平リーベ僕の船) 元素記号の覚え方(22文字) 19
パスワード(パスフレーズ)強化3つのポイント 同じ“ハッシュ値”になる事を避ける ローマ字 長い桁数 SNSに無い情報 漏洩辞書は基本英語ベース 長さは強さ! 日本語(ローマ字)を活用 すれば不正利用率は低くなる 8桁はもう厳しく 12桁以上推奨 SNS等で公開・発信した 情報は“漏洩している” と考えるべき ※NIST推奨は最低12桁~最大64桁 © 2024 キタきつね 20
パスワード管理について(参考) 出典:インターネットの安全・安心ハンドブックVer 5.00(第6章) © 2024 キタきつね 21
「開けゴマ」もパスワード漏洩 © 2024 キタきつね ※写真はイメー 22 *千夜一夜物語「アリババと40人の盗賊」 (DALL-E生成イメージ)
「パスワードは悪夢になった」 *Fernando Corbató (The Wall Street Journal, 2014/5/21) © 2024 キタきつね ※写真はDALL-E生成のイメージです ※写真はDALL-E生成 ※写真はイメー 23
参考リソース ■漏洩チェック(アドレス、ドメイン)、パスワード辞書 Have I Been Pwned? https://haveibeenpwned.com/ © 2024 キタきつね ■パスワード全般の知識(教育教材) インターネットの安全・安心ハンド ブックVer 5.00(第6章) https://securityportal.nisc.go.jp/guidance/handbo ok.html ■パスワード強度チェッカー(漏洩PW対応) How Secure Is My Password? https://www.security.org/how-secure-is-mypassword/ 24
まとめ 日本語(ローマ字) 漏洩チェック パスキー利用 © 2024 キタきつね 長くて覚えられる日本語(ローマ字)をパスフレーズに今日から 採り入れる(周囲にも広めて下さい・・・・) HIBP等のパスワード漏洩チェックサービスを使い、アラートが出たら すぐにパスワードを変更する パスキー(FIDO)/生体認証が利用できるサービスであれば利用する (パスワードレスの実現をユーザーとして後押しする) 25
ご清聴ありがとうございました Mail Blog X No+e キタきつね :[email protected] :Fox on Security (https://foxsecurity.hatenablog.com/) :@foxbook (https://x.com/foxbook) :読んでおきたいセキュリティ/生成AI関連記事 厳選10選 (https://x.com/foxbook) ■調査記事 ・クレジットカード情報漏洩事件のまとめ(2024年上半期) https://foxresearch.hatenablog.com/entry/2024/03/14/174125 ・クレジットカード情報漏洩事件のまとめ(2023年下半期) https://foxestar.hatenablog.com/entry/2024/03/13/164742 ■執筆 ・副業時代の経営課題:内部不正の検知と対策【前編】 https://fkske.com/posts/security01 ・副業時代の経営課題:副業・兼業者の情報漏洩対策は?【後編】 https://fkske.com/posts/security02 ■ホワイトレポート ・日本人のためのパスワード2.0(一般社団法人日本プライバシー認証機構) https://www.truste.or.jp/news/article/5610059.html ■セキュリティ顧問サービス https://foxsecurity.hatenablog.com/advisor