Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

脆弱なパスワードは蔓延している

西オーストラリア州政府の職員だけが、脆弱なパスワードを使っている・・・とは思えないのですが、tboの記事に気になる事実が載っていました。

www.tbo.com

The legions of lazy passwords were exactly what you — or a thrilled hacker — would expect: 1,464 people went for "Password123" and 813 used "password1." Nearly 200 individuals simply used "password," perhaps never changing it to begin with. Almost 13,000 used variations of the date and season, and almost 7,000 included versions of "123."

(tbo記事より引用)

 

怠惰なパスワードの軍団は、まさにあなたが - または、興奮したハッカー - 予想されるものでした:1,464人が "Password123"に、813人が "password1"を使用しました。 ほぼ200人の人が単に「password」を使用していました。 約13,000人日付と季節のバリエーションを使用し、「123」のバージョンは約7,000件になりました。

Google翻訳

 

◆キタきつねの所感

なかなか衝撃的なデータでした。

先日の記事で「会社のパスワードと、一般サイトのパスワードは違うはずなので(多少は)安全」という論旨の記事を書いたのが恥ずかしくなりそうです。

これは、一般職員の脆弱なパスワード設定の話かな?と思っていたのですが、、、

The laxness might be amusing, but the potential consequences definitely aren’t. Many of these accounts are used to access important information and vital government systems, according to the report — and several can do so remotely, with no additional vetting or credentials. Auditors were able to access one agency’s network, with full system-administrator privileges, by guessing the password: "Summer123." Overall, the report found that most agencies didn’t help users store their information safely and securely; this meant some employees were storing their passwords in Word documents or spreadsheets.

(tbo記事より引用)

 

これらのアカウントの多くは、重要な情報や重要な政府システムにアクセスするために使用されていると報告されています。 監査人は、パスワードを推測することで、完全なシステム管理者権限を持つ代理店のネットワークにアクセスすることができました。「Summer123」 全体として、このレポートは、ほとんどの機関がユーザーが情報を安全かつ確実に保存するのを支援していないことを発見しました。 これは、一部の従業員がWord文書またはスプレッドシートにパスワードを保存していたことを意味していました

Google翻訳

 

管理者アカウントの話だったようです。ここまで単純でなくても「Summer201809」・・・程度でしたら、以外に日本企業でもサーバ室内の端末パスワードとして存在しているのかも知れません。

私は、パスワードに関して他社でアドバイス(お話)する際には、「日本語ローマ字の方が安全である」と説明しています。例えば「Hachigatsu1809」といった具合です。これでも、日本語が分かる人には類推されてしまいますが、ハッキングの多くは海外からである事から、英単語を使うより安全だと思うからです。

日本でも海外でも、ハッカーが脆弱なシステムに侵入したあとに、重要情報を探るフェイズがあります。例えばファイルサーバに、「Word文書またはスプレッドシートExcel)ファイルにパスワードを保存」していた場合、最初に侵入した脆弱なシステムから、重要なサーバ群へ不正侵入するヒントを与えてしまう可能性が高く、平文でWordやExcelのパスワードファイルを保存しているのは、「失態」でしかありません。しかし、MSのオフィスは、読み取りパスワード(AES暗号)をかける事ができるので、必要があり、そうしたファイルを内部においておく必要があるのであれば、暗号化必須とすれば、少しはリスクが軽減されると思います。

 

西オーストラリア州政府だけでなく、一般的な企業での管理者パスワードの実態が、もしこの程度なのだとすれば(向上する余地が無いのだとすれば)、やはりパスワード管理は限界であると言うべきなのでしょう。

 

パソコンのパスワードのイラスト(セキュリティー)

 

更新履歴

  • 2018年9月9日AM(予約投稿)