【連載リレーコラム】
「セキュリティ都市伝説『パスワードの定期的変更』」
（株式会社NTTデータ　 大谷 尚通 ）

ときどき情報セキュリティ専門家や研究者の間で、パスワードの定期的変更の効果の真偽が話題にあがる。パスワードの定期的変更の有効性を検討しているWeb上の記事を見かけたこともある。しかし私が読んだ記事は、脅威とパスワードの定期的変更の対策の関係が誤っていたり、対策の効果が定性的に判断できなかったり、ユーザの負担だけを議論したりと、腑に落ちないものが多かった。

そこでパスワードの定期的変更の有効性を検討してみた。まずは、パスワードの定期的変更による対策効果を定量的に考察してみた。パスワードの定期的な変更は、パスワード文字列が4文字だった時代にパスワードの総当たり攻撃(ブルートフォース攻撃)の対策として実施したことが起源と言われている。そこで攻撃者による総当たり攻撃が、パスワードに使用可能な文字列の組み合わせをすべて探索する間に、ユーザがパスワードをN回変更した場合に、総当たり攻撃が成功して不正ログインされる確率Pを調べてみた。

• ■パスワード変更回数 ＝ 1の場合
  　P_1 = 1/2 + 1/4 = 75.0%
• ■パスワード変更回数 ＝ 2の場合
  　P_2 = 1/3 + 2/9 + 4/27 = 70.370%
• ■パスワード変更回数 ＝ 3の場合
  　P_3 = 1/4 + 3/16 + 9/64 + 27/256 = 68.359%
• ■パスワード変更回数 ＝ 10の場合
  　P_10 = 64.951%
• ■パスワード変更回数 ＝ 20の場合
  　P_20 = 64.106%
• ■パスワード変更回数 ＝ 100の場合
  　P_100 = 63.395%
• ■パスワード変更回数 ＝ nの場合
  　P_n = 1 - ( n/(n+1) )^(n+1)

このように総当たり攻撃がパスワードの組み合わせ数をすべて探索すると仮定すると、パスワードの変更回数20回 以上は、不正ログインされる確率があまり減少しない。よって、パスワードの変更回数を多くしていっても対策効果は大きく増加しないことがわかる。パスワード文字列が複雑で総当たり攻撃にかかる時間が1万年とすると、パスワードの変更回数20回、つまり500年に1回パスワードを変更すれば、ある程度は安全である。すなわちパスワードの定期的変更の回数を増やすよりも、パスワードの文字数や文字種を増やして複雑度を上げるほうが、不正ログインが成功する確率を効果的に下げることができる。また大量のログイン失敗を検知して総当たり攻撃を検知し、試行を繰り返している送信元からの通信を遮断する対応は、直接的に不正ログインを防止できる。

つぎにリスク分析の観点から、パスワードの定期的変更の対策にアプローチしてみよう。パスワードの総当たり攻撃によって不正アクセスされてしまった場合は、パスワードの変更が有効な対策である。しかし、パスワードの定期的変更は、識別認証機能を強化する対策でもなく、パスワードの総当たり攻撃に対する効果も低い。パスワードの定期的変更が有効な例の1つは、IDとパスワードがインターネット上のあるサービスから漏れてしまい、漏えいに気づかないためにパスワードを変更せず、そのサービスへ不正ログインされてしまう場合である。整理すると、パスワードの定期的変更が有効に働くリスクは、以下の3パターンである。

1. 自社の提供するインターネットサービスから利用者のIDとパスワードが漏えいした場合
2. 自社の提供するインターネットサービスの利用者からIDとパスワードが漏えいした場合
3. 自社の提供するインターネットサービスの利用者が、他社のサービスへ同じIDとパスワードを設定し、そのサービスからIDとパスワードが漏えいした場合

上記の3つの場合において、自社がこの漏えいを察知できない場合は、漏えいしたIDの利用者へパスワード変更を指示できない。そのため、漏えいしたIDへ不正ログインされるリスクがある。2や3の場合、インターネットサービスの提供会社は、IDとパスワードの漏えいを対策することが困難である。3の場合は、近年増加しているパスワードリスト攻撃である。このようにIDとパスワードの漏えいに気づかない状態で、正規のIDとパスワードを使ってなりすまして不正にログインされるため、その検知や対策は容易でない。そこでインターネットサービスの提供会社は、ユーザへ定期的なパスワード変更を依頼するのである。インターネットサービスの提供会社が、ユーザによる定期的なパスワード変更による自衛対策に期待したくなる気持ちも理解できる。しかし、このようなコントロールが困難なリスクに対して、パスワードの定期的変更では、期待通りの対策の効果は得られない。

第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。

第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキュリティ対策レベルに影響されない分、安全である。

第三の理由は、パスワードの定期的変更の対策効果が不確実であることだ。IDとパスワードが漏れてから不正ログインされるまでの間に、次の定期的なパスワード変更のタイミングが合えば、被害が発生しない。しかし、それ以外の場合は、次の定期的なパスワード変更が行われるまで、不正ログインされてアカウントが不正利用される被害がずっと続いてしまう。セキュリティ担当者は、セキュリティ対策予算が限られているため、セキュリティ対策の投資対効果を考慮して最適なセキュリティ対策を選択したいだろう。自分がセキュリティ担当者ならば、この不確実な対策では対策効果を定量化してセキュリティ対策の投資判断へ組み込むことができない。組み込むのであれば、ワーストケースを想定し、ユーザによってパスワードは定期的に変更されない、すなわち対策はあまり効果がないと仮定して、アセスメントを進めるだろう。

漏えいしたIDとパスワードやパスワードリスト攻撃による不正ログインを対策したいのであれば、対策の効果が期待できないパスワードの定期的変更ではなく、ワンタイムパスワードや二要素認証を導入するべきだ。

【部会・WG便り】

★「JNSAセキュリティしんだん」第15弾を公開しました。
　https://www.jnsa.org/secshindan/
　〜一般の人たちにとって、セキュリティはどのくらい深刻な悩みなのか？アンケート調査からわかること〜
　大変興味深いアンケート調査結果ですので、ぜひご覧ください。

★社会活動部会に新たに「海外市場開拓WG」が発足しました。
　先日のプレミーティングでは17名の方に御参加いただき、今月にあらためてメンバー募集を行う予定です。
　ご興味ある方はぜひ御参加下さい。
★PKI Day 2015 「サイバーセキュリティの要となるPKIを見直す」
　https://www.jnsa.org/seminar/pki-day/2015/
　事前の資料公開は本日夕刻予定です。参加お申込みの方は、資料のダウンロード・ご持参をお願い致します。
　（当日は講演資料の配布はいたしません）


【事務局からの連絡、お知らせ】
★JNSA会報誌「JNSA Press」vol.39を発行しました。
　会報誌はホームページからもご覧いただけます。
　https://www.jnsa.org/jnsapress/vol39/index.html

★2015年度JNSA定時総会のお知らせ
　6月9日（火）に秋葉原UDXギャラリーネクストにてJNSA総会を開催します。同会場でJNSA活動報告会も開催予定です。
　詳細は後日ご案内いたします。

★新年度に向けて、新しい活動テーマをお持ちの方がいらっしゃいましたら、事務局までご連絡下さい。新規WGのご提案も大歓迎です。

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。


*************************************
JNSAメールマガジン　臨時号　
発信日：2015年4月3日
発行：　JNSA事務局　
*************************************