Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

トランプ大統領のパスワード

トランプ大統領は大統領選挙での劣勢が伝えられていますが、逆転に向けてこの脇の甘さが問題となるかも知れません。

jp.techcrunch.com

オランダのセキュリティ専門家が、トランプ大統領Twitterツイッター)アカウント、@realDonaldTrumpのパスワードを推測してアクセスすることに成功したという。パスワードは「maga2020!」だった(パスワードはすでに変更されている)。

GDI Foundationのセキュリティ研究者でセキュリティ脆弱性を見つけて報告するDutch Institute for Vulnerability Disclosure(オランダ脆弱性公表機関)の代表を務めるVictor Gevers(ビクター・ゲバーズ)氏はTechCrunchに、大統領のアカウントパスワードを推測し、5回目の試みで成功したと語った。

アカウントは2段階認証で保護されていなかったため、ゲバーズ氏のアクセスを許してしまった。

(Tech Crunch記事より引用)

 

 

キタきつねの所感

ホワイトハッカーによる疑似ハッキングは、ホワイトハウスの副報道官は「まったく真実でない」と否定していますが、大統領のSNSセキュリティのコメントを拒否した様ですので、疑似ハッキングは成功してしまったのかと思います。

とは言え、大統領選の終盤のこの時期にこうした「ニュース」をぶつけてくる事に、何かの”意図”を感じなくもありません。

 

それはさておき、仮にこの件が本当だったとして、ホワイトハッカーに突破されたパスワードは、何故5回の試行で破られてしまったのでしょうか?少し真面目に漏えいしたとされる、パスワード強度を考えてみます。

 

「maga2020!」

 

パスワードの構成上は、英小文字、数字、記号が使われており、パスワード長は9文字とまずまずの長さです。しかし、”2020”と”!”はパスワード保有者にとってユニーク(特有なもの)とは言えません。

”2020”は誰でも「今年」の事を指す事は分かると思いますので、パスワード桁数を増やす事には貢献しても、構成要素とては弱いかと思います。記号の”!”もユニークではありませんので、このパスワードの肝となるのは、【maga】となる事は明らかです。

 

この単語・・・どこかで見覚えがあるなと思った貴方!正解です。

 

Make America Great Again』の頭文字以外の何物でもありません。

 

そりゃ・・・パスワード破られても不思議ではないですね。

 

(ホワイト)ハッカーは、攻撃をする際に、対象者(トランプ大統領)のSNS等から情報を拾い、例えば誕生日であるとか、ペットの犬の名前であるとか、今回の様に『選挙キャンペーンフレーズ』をパスワード候補として攻撃してきます。

 

今回の【maga】は、「容易に推測できるパスワード」(の一部)だったと言えるのです。

 

とは言え、このパスワード(mage2020!)、強度がすごく弱いという訳ではありません。仮に、大統領選の対立候補であるバイデン氏が使っていたとしたら、ホワイトハッカーは恐らく破れなかったと思います。

 

参考まで、パスワードチェッカーとして有名な「How Secure Is My Password?」では、16時間で解読されるとの評価です。

f:id:foxcafelate:20201024062301p:plain


同じく、パスワードチェッカーとして評価が高い「Kaspersky Password Checker」では、28日の評価結果です。

f:id:foxcafelate:20201024062504p:plain

 

もう1つ。過去の漏えい事件で流出したパスワードかどうか分かる「Pwned Passwords」では、驚くべき事に『流出したという事実が無い』と評価されました。

f:id:foxcafelate:20201024062358p:plain

 

 

私でしたらどうやってトランプ大統領パスワードをベースを変えずに強化するか、と考えると・・・

 

単純な手法としては、記号を増やします。(最初に入れると見破られそうですが)これだけでも意外とホワイトハッカーの攻撃は凌げたと思います。

 例)『maga20!20!』『ma#ga2020!』

 

記号を2つ使うと(その記号を置く位置も併せて)試行すべき組み合わせが膨大に増えますので、ハッカー側は結構大変かと思います。単語(magaや2020)の間に挟むとより複雑性が増しますのでオススメです。

 

もう1つの手法として、(私のオリジナルという訳ではありませんが)、他の要素と関係性の無い単語を増やします。

 例)『mage2020!JAPAN』『mage2020!yankees

 

日本やニューヨークヤンキース(出来ればファンでない所が望ましい)といった、選挙やトランプ大統領とあまり関係が無くSNS上でも出てこない単語(※ここが重要です)が1つ入っただけで、例えツール攻撃したとしても、ハッカーがパスワード解読にかかる時間は膨大なものとなるかと思います。

 

参考:パスワード2.0(ホワイトペーパー:キタきつね著)

cpc.jpac-privacy.jp

 

トランプ大統領アカウントのハッキング、事実だとすれば、非常に重要なTwitterアカウントであるが故に(下手な事をつぶやくと国際問題や世界の株価に大きく影響する)、大統領や大統領陣営はもっとSNSのセキュリティにも気を遣うべきだったかと思います。もし何でしたら酒席セキュリティ担当として雇って下さい。

とは言え、パスワード強化よりも先に『2要素認証』を設定すべきだとは思いますが。

 

※どこがオリジナルか分からないのですが、複数の関係ない単語を使った強力なパスワード作成手法について、英語圏広く出回っている説明イラストを参考まで貼っておきます。

XKCDマウスオーバー:情報理論とセキュリティを理解していて、そうでない人(おそらく混合ケースを含む)と腹立たしい議論をしている人には、心からお詫び申し上げます。

 

 

余談です。日本だとオランダのセキュリティ専門家(ホワイトハッカー)の『疑似ハッキング』行為は、不正アクセス禁止法(3年以下の懲役または100万円以下の罰金)に引っかかります。

その事自体は当然の事とは思いますが、私は認められたホワイトハッカー企業や個人に、制約付きで同様な脆弱性調査を認めるべきでないかと思います。

 

 

※10/25追記

いくつかの海外関連記事(続報)を読んだのですが、まずトランプ陣営は明確に否定と書かれている記事が多かったです。選挙戦の最中なので当然ではありますが。

そんな中、今回の”攻撃者”であるオランダの(ホワイト)ハッカーVictorGevers氏の攻撃に関わる記事が出ていましたので追記します。

grahamcluley.com

Geversは、悲しいことに哀れな「maga2020!」に出くわす前に、いくつかのパスワードの可能性を試したと言います。

IWillAmericaGreatAgain
MakeAmericaGreatAgain
MakeAmericaGreatAgain!
Maga2020
Maga2020!
maga2020!

(GrahamCluleyブログ記事より引用)※機械翻訳

 

私が書いたパスワード強化法、一番上の試行が「!」を2回使っており記号2つ使うという部分が攻撃リストに入ってました。(※とは言え、違う記号2種や、記号を挟む位置を変えれば安全性が高いという部分はまだ大丈夫そうです)

 

GrahamCluley氏の記事には、もう1つ重要な情報が書かれていました。2016年にトランプ大統領Twitterをハッキングされているのですが、その際に破られた(とされる)パスワードは、

“yourefired”(お前は首)

だった様です。当時は・・・結構頻繁に高官の首を切っていた気がします。

その際よりは、はるかにパスワードは強化されていたと考えるべきでしょうが、トランプ大統領は簡単なフレーズ(※容易に推測できるパスワード)を好んで使っている様です。こうした癖が(ホワイト)ハッカーに読まれたのかと思います。

 

因みに、FacebookのCEO、Mark Zuckerbergが2016年にいくつかのSNSアカウントを破られた時のパスワードは「dadada」だった事を考えると、、、2要素認証をONにする事が多くの方にとって重要なのだと思います。貴方のパスワードは大丈夫でしょうか?

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

アメリカの大統領選挙のイラスト

 

更新履歴

  • 2020年10月23日 AM(予約投稿)