2023/05/26

MFA でレインボーテーブル攻撃対策

2023 年 5 月 26 日 Carla Roncato 著

2013 年以降、「世界パスワードデー」が 5 月の第 1 木曜日に祝われていますが、これは適切なパスワード習慣の啓蒙が目的です。このイベントは、パスワードが私たちのデジタル ID の主な保護手段であり、パスフレーズなどの複雑なパスワードを実装する必要を再認識させてくれます。実際、2022 年だけで 7 億 2150 万件の認証情報がオンラインで流出しています。

その流出の結果、アカウントテイクオーバー攻撃(ATO)が増加しています。サイバー犯罪者はさまざまな方法でターゲットからパスワードを盗み出し、暗号化された認証情報であっても、場合によっては脆弱になります。今回は数ある脅威の中でも、レインボーテーブル攻撃に焦点を当てます。

レインボーテーブル攻撃とは?

このサイバー攻撃では、よく使われるパスワードとそれに対応するハッシュの評価や、パスワードのハッシュが解読されます。それにより攻撃者が元のパスワードをリバースエンジニアリングする攻撃です。通常、新しいオンラインアカウントを作成する際にパスワードデータベースは、サイバー犯罪者がデータベースを入手しても使用できないように、パスワードを「ハッシュ化」または不可逆的に暗号化するようになっています。しかしレインボーテーブル攻撃は、このハッシュを含む事前計算されたテーブルを利用するもので、ハッカーは総当たり攻撃や単純な検索テーブルを利用するよりも効率的に暗号化されたパスワードを平文に戻すことができます。レインボーテーブルは、セキュリティ管理者がパスワードのセキュリティ基準を確認するための手段であると同時に、サイバー犯罪者がパスワードを素早く解読してコンピュータシステムに不正にアクセスするための手段でもあります。

レインボーテーブルは、セキュリティ管理者にパスワードのセキュリティ基準を確認する方法を提供する一方で、サイバー犯罪者にパスワードを素早く解読してコンピュータシステムに不正にアクセスする方法ともなりえます。

このような攻撃を行う場合、ハッカーはまずハッシュ値の「チェーン」を作成し、レインボーテーブルを生成できるようにします。プロセスは既知の値から始まり、それにハッシュ関数を適用することで、対応する値を得ることができます。リストが作成されると、ハッカーはテーブルのハッシュ値とデータベースのハッシュ値を比較し、一致するものを探します。値が一致した場合、ユーザは認証され、サイバー犯罪者はシステムへのログインや機密情報へのアクセスが可能になります。

最近の研究では、アナリストグループが PassGAN という AI ベースのパスワードクラッキングプログラムに 1560 万以上のパスワードを入力する研究を行い、一般的なパスワードの 51% を 1 分間でクラックすることが可能であると結論付けました。しかし、AI ソフトは相対的に長いパスワードの解読には失敗しました。数字だけを含む 18 文字のパスワードを解読するには少なくとも 10 カ月かかり、数字、大文字、小文字、特殊文字すべてを含む同じ長さのパスワードを解読するには、6 垓年かかるという結果でした。これらの AI プログラムは、レインボーテーブル攻撃に似た技術を使用しており、MD5 や SHA-1 などの古いハッシュアルゴリズムの場合は、これらの攻撃形態に対して脆弱です。

複雑なパスワード/パスフレーズ作成のための 4 つのヒント

ここまでお伝えしたとおり、複雑なパスワードの使用は今日でも非常に重要です。今回の記事では、安全なパスワード作成のための基本的な 4 つのコツを再確認しましょう。

  1. 長さは重要な基準:
    真に安全なパスワードを作成する際に、長さ非常に重要です。パスワードに使用する文字記号やシンボルが増えるごとに、可能な組み合わせの数が指数関数的に増えていきます。理想的には、パスワードは少なくとも 12 文字の長さであるべきです。
  2. ユニークなパスワードを:
    「qwerty」、「password」、「12345」のような一般的なものを使用することは避けてください。このようなパスワードは、世界でも最も使用されているパスワードであるため、一番役に立たないパスワードでもあります。同様に、アカウントごとに異なるパスワードを作成することをお勧めします。安全なパスワードを再利用した場合、それはもはや安全なパスワードではありません。
  3. 個人情報を使わない:
    パスワードにニックネームや生年月日、ペットの名前などの個人情報を使用すると、サイバー犯罪者が少し SNS を確認するだけで、あるいは他人との会話を盗み聞きするだけで、簡単にパスワードを解読できてしまいます。
  4. 文字、数字、特殊文字を組み合わせる:
    同じパスワードの中で異なる種類の文字を組み合わせると、可能な組み合わせの数が大幅に増えます。

MFA:パスワードに必要な追加保護

複雑なパスワードを使用することは、レインボーテーブル攻撃から身を守るための鍵です。複雑なパスワードはレインボー攻撃のテーブルに表示されないため、ハッカー、またハッカーが使用する AI による解読が容易ではなくなります。

しかし、ID を確実に保護するためには、アクセス要求が正規のユーザによるものであることを確認するための多要素認証をパスワードと併用することが常に推奨されます。

パスワードは推測されたり、盗まれたり、傍受されたりする可能性があり、攻撃者はさまざまな手法でパスワードを回避できます。ウォッチガードの AuthPoint のような MFA ソリューションを使用して、複数の認証要素を要求することで、攻撃者による不正にアクセスは困難になります。

企業内の ID やネットワークを保護するために MFA ソリューションが果たす重要な役割についての詳細は、以下の記事をご覧ください。

サイバー犯罪者による企業ネットワークアクセス権の不正販売

83% の企業が認証方法として MFA を選択