すぐに見破られるパスワードはハッカーに狙われる

　企業によるコンピュータネットワークの厳重な管理やパッチの適用が進むなかで、パスワード入手のためにソーシャルエンジニアリングのテクニックを使うハッカーが増えている。

　そして厄介なことに、パスワードの選択や保護については、相変わらずユーザーが企業の弱点であることが、あるITセキュリティ専門家の調査で明らかになった。

　この調査によると、オンラインアンケートを模した実験では、抽選への応募条件として自分のネットワーク用パスワードを入力するよう求められた人の15％が、情報提供のためのページに進んだという。

　この調査は技術コンサルティング会社のNCC Groupが実施したものだが、同社でリスクサービスの責任者を務めるPaul Vlissidisがsilicon.comに語ったところによると、パスワードに無頓着なスタッフ--とりわけ他の人間よりも高いセキュリティ意識を持つべきITスタッフの問題が、企業を危険にさらしているという。

　「怠慢と無知とが、ネットワークのセキュリティに関する問題を起こす。ノート型PCなどを使い、ブロードバンド回線経由で家庭からのリモートアクセスするケースが増えているいま、パスワードの重要性がますます高まっている」（Vlissidis）

　Vlissidisによると、ハッカーが企業ネットワークへアクセスするためのパスワード収集に、ソーシャルエンジニアリングのテクニックを用いるケースが増えているという。これは、IT部門によるシステム保護対策が強化された結果だ。

　「システムへのパッチ適用など、ユーザーがネットワークのほかの脆弱性に対して対策を打ち、攻撃可能な部分が減った結果、つけ込める部分が少なくなったハッカーが、パスワードを狙うケースが増えている」（Vlissidis）

　パスワードの管理について、よく部署内で1つのパスワードを共有したり、サッカーのチーム名のような明らかに有名な言葉を使っているケースがあるが、これは好ましいやり方とは言えない。さらに、企業の役員クラスの人間が問題の発生源になっている場合も珍しくないと、Vlissidisは指摘している。

　ユーザーに対するアドバイスとしては、まずプログラムを使えば簡単に見破られてしまう、例えば辞書にあるような言葉をパスワードに使うのを避け、代わりに数字と文字を組み合わせたものにすることだ。1つの方法として、まず好きな歌や詩を選び、最初の節から各行の頭の1文字を抜き出して、それに2桁程度の数字を組み合わせるというものがある。パスワードを変更するときになっても、次の一節を使えばよい。

　「このやりかたなら、どんな曲だったかを覚えている限り、パスワードを忘れることもない」（Vlissidis）