ユーザーブロマガは2021年10月7日(予定)をもちましてサービスを終了します

9割のアカウントはクラックできてしまう件について
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

9割のアカウントはクラックできてしまう件について

2013-07-29 02:13
  • 11

問い合わせ先を間違ってないですか?

LINEやらGoogle、TwetterやFacebookなど立て続けにアカウントクラックか最近報告されてますが、それに伴ってか私のところに問い合わせが半端ないです。

信頼を得られてることはもちろん嬉しい訳ですが、でも何で私に「アカウントってそんな簡単にハッキング(クラッキング)されるんですか?」と問い合わせするんですかね。

プロフィールを読んでくださいよ。私は今のところIT業界には全く関係のない人間で、いわゆる趣味プログラマです。ITの専門家ってわけじゃないんですよ。

どうせ問い合わせるのならITセキュリティに定評のあるプロのプログラマさんを探して相談した方が良い気がします。いや気がするどころか間違いなくそうでしょうよ。

まあただ折角信頼を得られてるんで今回の記事では私が知っている範囲で問い合わせの主な内容であるアカウントクラックについて語ってみようかと思います。

アカウントクラックは簡単か?

結論から言えば、ド素人が考えてるよりも簡単にクラックできるという回答になります。

その理由は様々ですがクラッカーという人間はド素人が思いにもよらない思考と手法で皆さんのアカウントをクラックします。

root取得は難しい

Webサービスの全てのデータにアクセスをし、Webサービスの全ての振る舞いを左右できるroot権限(管理者権限)。

殆どの方々が持つクラッカーのステレオタイプなイメージってこのroot権限を黒い画面でカタタターン!と奪いとるってのが大半だと思います。

しかし前提を考えてみてください。アカウント型Webサービスの場合クラッカーが真に欲しいのはWebサービスの振る舞いを左右できるroot権限でしょうか?

イタズラ心や自分のスキルを示したい自己顕示欲のあるクラッカーならそうでしょうが、多くの場合クラッカーが欲しいのはroot権限ではなくユーザーの個人情報なんです。

root権限を取得するクラッキングは予測される脆弱性を片っ端から洗うという膨大な作業が必要です。時間が掛かる上に脆弱性というのは直ぐに修正されますから労力に見合わない間合いも多いです。

それはもはやWebサービス管理者というITの専門家と、クラッカーというITの専門家同士の知恵比べであり、両者とも疲弊するだけの喧嘩だったりします。

ユーザーという名の脆弱性

確実に欲しいものを得て、相手を蹂躙したいならば弱い相手を選べば良いと思いませんか?

つまり別にクラッカーはITの専門家と勝負する必要なんて無いんですよ。Webサービスの中にはユーザーというITのド素人が居るのですから。

Webサービス全体をクラックできなくとも、そのWebサービスの中の極一部、しかも間違いなく脆弱性が存在するであろうユーザーという要素をクラック。そちらの方が断然効率的だ。

アカウント型Webサービスであるならば価値があるのはWebサービスそのものよりもユーザーであり、しかも弱いのならば狙わないわけないじゃないですか。

さてクラッカーはどんな手法を使ってユーザーアカウントをクラックしてくるんでしょうかね?

ディクショナリアタック

では今回はクラッキングの超基本中の基本であるディクショナリアタック(辞書攻撃)をご紹介しましょう。

ディクショナリアタックとは読んで字の如く辞書を用いた攻撃手法であり、その辞書とはパスワードに設定されやすい文字列が多数登録されているのです。

辞書の内容は単語、人名、地名、暦生年月日、住所録などです。その他入力系アルゴリズム(例えばQWERTYなどのキーボード配置)、文字列節アルゴリズム(単語と単語の間に-_.,などの記号を用いる)などが含まれてます。

ディクショナリアタックを用いると6文字パスワードだと15秒前後でそのアカウントはクラックすることが可能。15時間とか15分じゃなくてたったの15秒です。



※ディクショナリアタックをしてるイメージ

意味を持つパスワード

多くのユーザーはパスワードへ意味のある文字列を与えやすいです。

それは何故か?と言えばパスワードは忘れると困るので、記憶しやすいように意味を与えます。

好きなアニメのキャラクターの名前とアニメタイトルだったり、恋人と付き合った記念日だったり、敬愛する音楽バンドの曲名だったりです。

しかしディクショナリアタックはその意味のあるパスワードをユーザーが設定しやすいということを逆手に取ったクラッキング手法なのです。

おそらくこの記事を読んでいる9割のユーザーのパスワードは意味を持ち、ディクショナリアタックにとっておいしいターゲットとなっていることでしょう。

ディクショナリアタック対策

ディクショナリアタックの対策手法の基本は意味を持たないパスワードを与えることです。

意味を持たないパスワードとは、両手をキーボードに置いて目をつぶりキーボードをテキトーに叩いて無作為に選ばれたパスワードなどのことですが、これが非常に記憶しにくいわけですよ。

せっかくセキュリティ強度の高いパスワードを設定しても忘れてしまったんじゃどうしようもなくなるじゃないですかw

そこでセキュリティ業界ではパスワードを使わないという方法を推奨しています。

「えっ?パスワードを使わなかったらアカウント作れないよね?」って感じたかと思いますが、これもまた考え方次第なのです。

パスフレーズという新発想

「パスワードを設定してください」とかって書いてあるから皆さんは単語(ワード)を発想してしまうわけであり、別にパスワードは単語じゃなくてもそもそも良いんですよ。

つまりパスワードは文章(フレーズ)でも良いわけで、例えば「konokijiwoakuyousinaidene(この記事を悪用しないでね)」でも良んです。

皆さんもどこかで見たことがあり知っているかと思いますがパスワードは長く不規則な文字列を使うことが推奨されています。

一部のWebサービスではセキュリティ強度を表示してるのもあります。

しかし長く不規則な文字列は記憶しにくく、結局意味を持つそこまで長くないパスワードになっちゃうのが現状です。

でもパスフレーズという考え方を用いて設定すれば、ベースが文章なので不規則かつ長めの文字列を簡単に設定できてしまうのです。

パスフレーズの前ではディクショナリアタックは流石に通用しません。文章は不規則すぎるからです。倒置法の文章とかもありますしね。

今回のまとめ

  1. クラッカーはWebサービス管理者とガチ勝負する必要ない
  2. クラッカーとしては脆弱性の塊であるユーザーを相手にしたほうが楽
  3. ディクショナリアタックはすごいよ!
  4. パス"ワード"は使わない
  5. パスフレーズが色んな意味で鉄板

わかってる人向けの追伸

ド素人に「Webサービス側はブルートフォースアタック対策に云々」って小難しいこと語ったって理解しないと思うんですよ。

結局はパスフレーズ使わせたほうがセキュリティ強度が上がることは明白ですし「Webサービス管理者がしっかりやってるから安心汁( ゚Д゚)!!」なんて言っても対策してる保証どこにもないじゃないですか。

昨今は「ド素人がWebサービス作ってみた」系が流行っていますし、どこかのマイナーなWebサービスは対策してないかもしれません。

なので一緒に流行らせませんか?セキュリティ対策としてのパスフレーズを。

以上です。長文にお付き合いいただきありがとうございました。


広告
他1件のコメントを表示
×
ネットで見た知識を自慢気に話すのが趣味プログラマなのがよくわかりました
88ヶ月前
×
つかえない
88ヶ月前
×
テスト
85ヶ月前
×
パスフレーズってのは、俺の中では革新的だった
感謝する
85ヶ月前
×
クッソワロタwwwwwww
ツイッターでブルートフォースしたらすぐ 止 め ら れ ま す け ど ?
俺もニワカだけどコイツほど馬鹿ではないわ
72ヶ月前
×
まさか辞書攻撃についてだけ書かれていたことに驚愕した
手抜きすぎワロス
72ヶ月前
×
前置きをしてこれだけ長文書いて、ついたコメントがほんの1,2行の罵倒とか更新する気も失せますわな…
62ヶ月前
×
ずたぼろでかわいそう
39ヶ月前
×
>問い合わせ先を間違ってないですか?
実際は問い合わせなんて来てなさそう
37ヶ月前
×
>9割のアカウントはクラックできてしまう件について
あほだろこいつwww
36ヶ月前
コメントを書く
コメントをするには、
ログインして下さい。