2003年10月24日(金) 14時01分

すぐに見破られるパスワードはハッカーに狙われる（CNET Japan）

　企業によるコンピュータネットワークの厳重な管理やパッチの適用が進むなかで、パスワード入手のためにソーシャルエンジニアリングのテクニックを使うハッカーが増えている。

　そして厄介なことに、パスワードの選択や保護については、相変わらずユーザーが企業の弱点であることが、あるITセキュリティ専門家の調査で明らかになった。

　この調査によると、オンラインアンケートを模した実験では、抽選への応募条件として自分のネットワーク用パスワードを入力するよう求められた人の15％が、情報提供のためのページに進んだという。

　この調査は技術コンサルティング会社のNCC Groupが実施したものだが、同社でリスクサービスの責任者を務めるPaul Vlissidisがsilicon.comに語ったところによると、パスワードに無頓着なスタッフ--とりわけ他の人間よりも高いセキュリティ意識を持つべきITスタッフの問題が、企業を危険にさらしているという。

　「怠慢と無知とが、ネットワークのセキュリティに関する問題を起こす。ノート型PCなどを使い、ブロードバンド回線経由で家庭からのリモートアクセスするケースが増えているいま、パスワードの重要性がますます高まっている」（Vlissidis）

　Vlissidisによると、ハッカーが企業ネットワークへアクセスするためのパスワード収集に、ソーシャルエンジニアリングのテクニックを用いるケースが増えているという。これは、IT部門によるシステム保護対策が強化された結果だ。

　「システムへのパッチ適用など、ユーザーがネットワークのほかの脆弱性に対して対策を打ち、攻撃可能な部分が減った結果、つけ込める部分が少なくなったハッカーが、パスワードを狙うケースが増えている」（Vlissidis）

　パスワードの管理について、よく部署内で1つのパスワードを共有したり、サッカーのチーム名のような明らかに有名な言葉を使っているケースがあるが、これは好ましいやり方とは言えない。さらに、企業の役員クラスの人間が問題の発生源になっている場合も珍しくないと、Vlissidisは指摘している。

　ユーザーに対するアドバイスとしては、まずプログラムを使えば簡単に見破られてしまう、例えば辞書にあるような言葉をパスワードに使うのを避け、代わりに数字と文字を組み合わせたものにすることだ。1つの方法として、まず好きな歌や詩を選び、最初の節から各行の頭の1文字を抜き出して、それに2桁程度の数字を組み合わせるというものがある。パスワードを変更するときになっても、次の一節を使えばよい。

　「このやりかたなら、どんな曲だったかを覚えている限り、パスワードを忘れることもない」（Vlissidis）

関連記事：
「複雑なパスワードより、スクリーンセーバが効果大」：米セキュリティ企業
銀行危うし-Bugbearワームが行員のパスワードを集める？

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

　■CNET Japanニューズレター（無料）
　 国内外のIT関連ニュースやコラムの新着情報を毎日お届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20031024-00000004-cnet-sci