ネットワーク・セキュリティー講座

第18回 「 安心・安全に『パスワード』を使う時代に 」

(2007/1/18)

固定パスワードは危険！

コンピュータを立ち上げてログインしたり、オフィスのLANなどのネットワークにアクセスするときに必要となるのがパスワードです。通常、企業などでコンピュータやネットワークを利用する際には、コンピュータの利用者やネットワークにアクセスしようとする利用者1人につき1つのパスワードが与えられていて、それを使ってログインする場合がほとんどです。この場合、パスワードは3カ月間や半年間といった期間は変更されずに「固定された」状態であるのが一般的です。なかには利用者がパスワードを「変えようと」しない限り、変更されずに同じパスワードが使い続けられるといったケースもあるようです。

そんな固定パスワードは、毎回、コンピュータにログインしたり、ネットワークにアクセスしたりする場合に入力されるため、万が一、そのコンピュータにキーロガーなどが埋め込まれ、キーボードでパスワードを入力する際のキータッチが不正に記録されてしまうこともあります。

パスワードを他人に盗まれてしまうと、簡単に本人になりすまして不正にアクセスされてしまい、しかも、パスワードが盗まれたことにすらなかなか気がつかないということも多いのです。

「パスワードをいかに守るか」が大切

さて、実際にキーロガーなどを使って固定パスワードが盗まれてしまい、何かしらの被害が発生した事件は数多くあります。

たとえば、インターネットカフェでコンピュータにキーロガーが仕組まれていて、そのことを知らずに利用者がそのコンピュータでネットバンキングを利用してしまったのです。キーロガーが仕組まれたコンピュータとは知らずにネットバンキングを利用した人の数は約900人にもなり、その結果、IDとパスワードが盗まれて、じつに合計1600万円ものお金が不正に引き出されてしまったのでした。IDやパスワードを使えば安心・安全という時代ではなく、現在では「いかに安全・安心にパスワードを使うか」、つまり「パスワードの守り方」が問われている時代なのです。

そんなときに有効な手段として使われているのが、パスワードだけではなく、パスワードとその他の個人認証方法を活用してログインするという方法です。具体的には、ログインの際に利用者の指紋を照合し、合致したときにのみログインできるようにする、あるいは、利用者の瞳の虹彩をあらかじめコンピュータに記録しておき、その虹彩と合致した利用者しかコンピュータを起動できないようにするといったバイオメトリクスを活用した方法などが普及しています。しかし、バイオメトリクスでは個人認証が正確に行われるか、また、認証用の装置を取り付けなければならないといった問題もあります。そこで、今、注目されているのが「ワンタイムパスワード」です。

1回使い切りの「ワンタイムパスワード」

ワンタイムパスワードとは文字通り、1回使いきりのパスワードです。頻繁にパスワードを変更しなければならない現代社会にあっては、使い勝手の良いセキュリティシステムといえます。その仕組みは、まず、利用者がコンピュータやネットワークにログインをしようとすると、個人を認証する、つまりパスワードを認証するサーバーが個人認証用に使うランダムに生成された文字列を、アクセスしてきた利用者のコンピュータに送信します。次に、利用者が自分だけしか知らない秘密のパスワードをコンピュータに入力すると、そのコンピュータが秘密のパスワードとサーバーから送られてきたランダムな文字列を使って複雑な演算をします。そして生成された演算結果が、再びサーバーに送られ、文字列が検証されて正規の利用者かどうかが調べられるのです。

サーバーから送られてくる文字列は毎回、ランダムに生成されるために異なっていて、また、利用者が申告したパスワードも毎回、異なった文字列としてサーバーに送信されます。そのため、パスワードは1回しか使われないものになるのです。このため、万が一、パスワードがインターネットなどのネットワーク上を流れているときに、途中で盗まれてしまい、同じパスワードが生成されても、そのパスワードは1度しか使えず、「二度と使えないパスワード」であるために不正にアクセスされたり利用されたりすることがないのです。ワンタイムパスワードはフリーソフトウェアを使って利用できるようにもなっています。今や「パスワードをいかに守るか」という意識でセキュリティを考えなくてはならない時代なのです。