インターネット攻撃概論 第五回 パスワードの盗まれ方(2)   no comments

Posted at 5:56 pm in ネタ,日記

こんにちは。
今日は前回に引き続き、パスワードの盗み方、もとい、パスワードがどのような手段で盗まれるのか、ということについてお話ししていきたいと思います。

前回いただいたパスワードを元に、さまざまなサービスにログインさせていただきましたが、前回いただいた学籍番号ではなかなかユーザー名の特定が難しかったです。こんなことならよく使っているユーザー名も聞いておけばよかったと後悔しております。この反省は来年に生かしたいと思ってます。

さて、反省はともかく、睡眠時間を削った努力の結果、いくつかのアカウントの解析に無事、成功いたしましたことをご報告させていただきます。みなさんパスワードの使い回しはなるべく止めた方がいい…

ログインさえ成功してしまえばその人になりきれちゃうよ、てへっ

生徒「お前、難しそうなこと言ってるけど、それ、普通に犯罪じゃね?」
山本「いや、そんなことは… 大事な研究のためですから問題ないのです」(そっと近づいて1000円札を渡す)
生徒「まあ、研究のためなら仕方ないですね。」(ポケットにしまってにっこり)

…えっと、まあ、私の研究報告はこれくらいにしておいて、今日はパスワードが相手に教えてもらえなかったり、拾えなかったりしたときに、パスワードをどのようにして手に入れるかについてです。

○パスワードを推測する
まず、皆さんもよく見かけると思いますが、図のようなWebサイトのありがちなログイン画面があります。

ありがちなWebサイト

ログインしたいユーザIDがわかっている場合、わからないのは、当たり前ですがパスワードです。この場合皆さんはどうしますか?

生徒「適当なパスワード入れるっしょ」
山本「そうですね、正解。君はよいパスクラッカーの才能がありますね」
生徒「なにそれ?就職できる?」
山本「惜しくもそれは… 」

就職とパスワードの推測はあまり関係ないとは思いますが… それはともかく、ログインしたいなら何はなくとも、パスワードを入力すればいいわけですが、適当に入れたところで、よほど運が良くないとログインに成功することはありません。

そのために正しいパスワードにたどりついて、どうにかしてログインするためのアプローチの方法がいくつかあるのですが、いちばんオーソドックスなものとして、その人が設定しそうなパスワードを想像して試していくというやり方があります。

このアプローチではパスワードが何であるかを上手に推測することが必要になります。自分の予想が正しければ正しいほど素早くそのユーザーになりすませるということですからね。

単純で楽をしたい人が、どのようなパスワードを設定するか考えていきましょう。心理学ですね。

いちばん単純なのはIDと同じ、たとえば、ユーザーIDが「yamamoto」なら「yamamoto」のように、同じものにするという人がいます。こんなアホなことはないだろう、と思うのですが、IDとパスワードが同じなら、覚えやすくていいじゃないかという理由で設定したり、変更する前提で最初にこのような設定で変更せずにそのまま、ということもあるようです。

似たようなものとして「password」というパスワードがあります。これは同じでないうえに、だいたいは画面にも書いてますので、思い出しやすくていいのですが、とても単純なのは同じです。

次にもう少し複雑なパスワードを考えている人もいます。

銀行のクレジットカードや携帯電話のような4桁のパスワードの場合、いちばんありがちでピッタリはまりやすいのは誕生日ですね。誕生日が4月1日のときに「0401」に設定する、みたいなかんじです。

山本「唐突ですが、この中で、5月が誕生日の人?」
山本「何人かいますね。この中で、パスワードを05xxにしてる人?」
(数人手が上がる)

山本「ありがとうございます。やっぱりそうですよね。やっちゃいますよね。」

蛇足ですが銀行のクレジットカードの場合は普通、「0000」と「9999」は設定できないことになっていますから試さないようにしましょうね。
なので、ログインしたいユーザーの誕生日を調べて、その誕生日でログインするということでログインできるようになるかもしれません。誕生日ならネットからわかることもあるでしょう。

さすがに最近では数字だけ、というパスワードは設定できないところも多いですから、もう少し覚えやすいけど忘れないパスワードを設定しているケースが多いです。

○もう少し複雑なパスワードが設定されている場合

さすがに、誕生日だけとか名前だけとかは本能的にまずいと思っている人は意外と多いようで、もう少し複雑なパスワードが設定されていることもあります。

もう少しわかりにくいけど、自分にはわかりやすいパスワードということで設定されているのは、

・苗字で登録していた場合、名前、もしくはその逆
・彼氏彼女、ペットの名前

のような自分の周囲に関する情報がありますね。これらのパスワードだと、設定した人もそうなのですが、その人に関する情報を見つけ出すことさえできれば、攻撃者する側も頭を悩ませることなく数回でログインできますね。

最近ではパスワードに設定する単語として数字を1文字含めることとか大文字小文字が必要とか、条件が決まっている場合があります。そのような場合は、たとえば「Password1」とか「yamamoto1231」のようにこれらを組み合わせたものを設定していることも多いですね。

そのサービスがどのようなパスワードを設定できるのかを調べてから、パスワードを試した方がよいと思われます。

もう少し注意深い人は、自分の好きなアーティストの名前や趣味に関係する名前を設定しています。アニメが好きならアニメキャラの名前、アイドルが好きならアイドルの名前など、自分の趣味に関係する名前ですね。

cats_2012-05-23_8

ペットの名前にしている人も多いです

このあたりを設定されると、簡単にパスワードを当てることは難しくなってきますが、相手の趣味を地道に調べたり、Webやブログや日記を読んだり、twitterのつぶやきなどをチェックすることで、その人、別にボットでも構わないのですが… の行動をチェックすることでパスワードを見つけ出せる可能性が高まります。

とにかく時間をかけてその人のことを研究することで、さまざまなヒントが転がっています。いや、観察されて見つけられるので注意しましょう。

長くなってしまいましたので、次回に。

Written by bogus on 5月 24th, 2012

Tagged with