giraphantのブログ

全ては豊かな人生を送るために

「機密の刃」解説⑥ -パスワード設定の基本-

f:id:giraphant:20210601144539p:plain

 

ここでは、ITセキュリティの従業員教育を楽しく行うために作ったゲーム、機密の刃の解説をしたいと思います。
今回は最終回。家(3回目)のステージについての解説です。

スムーズにクリアできた方も、新たな気づきがあるかもしれません。
敵を知り己を知れば百戦殆からず。攻撃者の心理を知って、防御力を高めましょう!

パソコンの設置

図1 パソコンの設置

Goolgleのオフィスでゲットした古いパソコンを選択して(図1①)、テーブルの空いているところをクリックし、(図1②)パソコンを設置します。

パソコンへのログイン

こうしてパソコンを開いてみると、パソコンは物理破壊もクリーンインストールもされていないようです。それではパソコンへのログイン試行をしてみましょう。

資産管理一覧の確認

しかし残念ながらユーザー名もパスワードもわかりません。そこで、Goolgleオフィスでゲットした資産管理一覧を確認してみましょう。

図2 資産管理一覧の確認

この資産管理一覧、どうやらデスクトップパソコンやノートパソコンなどの資産にAsset No.が振られ、ユーザ名と共に管理されているようです。

では、このパソコンのAsset No.を調べればいいのですね。お、パソコンの右下にありました(図2①)!ということは…もう誰の持ち物かお分かりですね。パソコンのユーザー名にはこの資産管理一覧に記載されているuser「krengoku」でログインできそうです。

パスワード突き止める

ではパスワードは何なのでしょうか。困りました…現状、ヒントが全くありません。

仕方がないので一旦、自分(左側)のPCを見てみましょう。すると、こんな情報がありました。NCSC(National Cyber Security Center)の情報です。なおNCSCとは、イギリスの政府通信本部の下部組織であり、過去の情報漏洩で明らかになったパスワードのうち、どのようなパスワードが多く使われていたかを公開しています。

図3 NCSCが公開した多くの人に使われているパスワード

もしかしたらkrengokuさんも、このような脆弱なパスワード(図3①)を使っているかもしれません。そこで、ここに記載されているパスワードを、粘り強く上から順番に入力してログインを試行してみましょう。

…4回目くらいで無事ログインできたと思います。
クラッカーは時に、こうした泥臭いハッキングも行うのですね。

ログイン後は、いかにも機密情報が入っていそうなフォルダにアクセスし、予想通り機密情報をゲットします。

補足

パソコン廃棄時の注意事項

前回の解説にも記載しましたが、パソコン廃棄時にはHDDの物理的破壊またはクリーンインストール(ツールを使ったデータ消去)をする必要があります。もしこれらが行われていないと、データを復元されるなどして、パソコン内のデータの漏洩につながる可能性がありますので、注意が必要です。

ログインパスワードとログイン設定について

今回のように、可能性のあるパスワードの繰り返し試行により不正侵入されることもあります。
類似の攻撃としてブルートフォースアタック(総当たり攻撃)と言うものがあります。例えば、1~9の番号の3ケタの組み合わせで開く錠前をイメージするとわかりやすいと思います。当然、番号を知っていれば一瞬で開けることができますが、001、002…と一つずつ試行していても、時間はかかるかもしれませんがいつかは開きます。これがブルートフォースアタックです。

こうした攻撃から身を守るには、推測できない強固なログインパスワードを設定することが重要です。「推測できない」とは・・・例えば名前+誕生日で構成されたパスワードは推測しやすいですね。NCSCが公表した良く使われているパスワードも推測しやすいといえるでしょう。ユーザー名とパスワード名が同一、なんていうのは論外ですね。更に大文字・小文字・数字・記号など、使う文字の種類が多ければ多いほど強固になるわけです。

また、複数回ログイン失敗時のアカウントロック機能も、ブルートフォースアタックに対して有効な対策と言えます。例えば3回パスワードを間違えたら30分間ロックされ、その間ログインできない、といった機能です。こうした機能は多くのサービスで実装されているので、機能を有効にしておくことをお勧めします。

まとめ

図4 クリア後の画面

おめでとうございます。これですべてのステージをクリアしました。

図4に記載されている通り、もし公開により競争力を失うような機密情報が漏洩したら、当該企業は大きな損失を被ることになります。また顧客の個人情報が漏洩したとしても、企業の信頼は低下するでしょう。そして情報漏洩が発生した企業の株価が急落することもよくあります。

そしてこのゲームを通して、情報漏洩は企業としての対策のみならず、従業員一人一人のセキュリティ意識も非常に重要であるとわかって頂けたかと思います。怪しいメールは開かない、Free WiFiは使わない、パスワードは強固に保つ、情報資産(パソコン・スマホ含む)を紛失しない・・・など。これらの行動は会社を守り、その会社から給料を得ている従業員自身を守ることにつながります。

今回のまとめは以下の通りです。

  • パソコンの廃棄時はHDDの物理破壊やクリーンインストールをしてデータ復元できないような状態にする。
  • 推測できない強固なログインパスワードを設定する。
  • 複数回ログイン失敗時のアカウントロック機能を有効にする。
  • 従業員の高いセキュリティ意識は、会社と従業員自身を守ることにつながる。

このゲームと解説が少しでもあなたの役に立てたならば非常にうれしいです。

ゲームプレイ並びに解説の閲覧、どうもありがとうございました。
感想・コメント、お待ちしております。