パスワードを研究するコンピューターセキュリティの専門家、ケビン・ヤング氏は、言葉を失いそうになっている。文字通りだ。
ヤング氏と彼の同僚たちは、LinkedInの約260万件の暗号化されたパスワードの解読に取り組んでいます。これは、今週初めにロシアのパスワードクラッキングフォーラムで公開された合計610万件の一部です。ヤング氏は、人々がどのようにパスワードを選択し、クラッキングに対してどれほどの耐性があるかを研究しています。(「サイトごとに異なる、安全で覚えやすいパスワードを作成する」も参照してください。)
公開されたデータはパスワードハッシュ、つまりSHA-1と呼ばれるアルゴリズムを用いて生成されたパスワードの暗号表現です。例えば、ある人物のパスワードが「Rover」の場合、SHA-1ハッシュは「ac54ed2d6c6c938bb66c63c5d0282e9332eed72c」となります。
これらのハッシュを元のパスワードに変換することは、デコードツールと強力なグラフィックプロセッサを使用すれば可能です。しかし、パスワードが長く複雑になるほど(大文字、数字、記号が散りばめられるなど)、解読はより困難になります。
LinkedInのハッシュで興味深いのは、専門家がハッシュを元のパスワードに変換するのに苦労していることです。610万個のハッシュのうち、先頭に「00000」が付いているものは約350万個が既に解読されているようです。
残る260万個の未解読ハッシュは、ヤング氏と同僚たちが解読に取り組んでいる。しかし、彼らの成果は芳しくない。つまり、もっと多くの単語が必要なのだ。
パスワードを暴露する方法の一つは、ハッシュを既に解読されたハッシュと比較することです。Stratfor Global IntelligenceやMilitarySingles.comなど、他のデータ侵害から得られたハッシュとそれに対応するパスワードのリストを使用することで、これが可能になります。
ヤング氏によると、ハッカーたちはすでにこれらのリストをLinkedInのハッシュに利用しているようだ。LinkedInのハッシュをStratforとMilitarySingles.comの侵害から解読されたハッシュと比較したところ、マッチしたのはわずか5000件ほどだった。「簡単に手に入る」ものはもうなくなってしまったとヤング氏は語った。
「これらは間違いなく、今回紹介したパスワードの中で最も難解です」と、ユタバレー大学の情報セキュリティ非常勤教授であるヤング氏は述べた。「かなり複雑です。」
ヤング氏と彼のチームは、これらの暗号を解読するために、いわゆる総当たり攻撃でより多くの単語と単語の組み合わせを必要としています。彼らは世界で最も有名な書籍のいくつかを参考にしました。
ヤング氏は、『二都物語』『戦争と平和』『野性の呼び声』『オズの魔法使い』といった書籍からパスフレーズ文字列を抽出するプログラムを作成した。このプログラムはこれらの書籍に出てくる単語を抽出し、「lionsandtigersandbears」や「ihavebeenchangedforgood」といったフレーズや連結文字列を生成する。どちらの単語もLinkedInのハッシュでヒットした。
『オズの国』の「ティップは森から木を運ぶために作られた」という一節では、ヤングのプログラムは「Tip」、次に「Tipwas」、そして「Tipwasmade」、そして「Tipwasmadeto」とハッシュを順に試していきます。さらにハッシュの一致を試みる際に、数字や記号を追加するようにプログラムを設定することもできます。
ヤング氏のチームが使用しているパスワードプログラムの一つ「ジョン・ザ・リッパー」は、1秒あたり約7億~8億通りの単語の組み合わせを試します。ヤング氏が使用している他のツールは、1秒あたり最大50億通りの組み合わせを試しており、これは驚異的な数字です。これまでに解読できたLinkedInのハッシュは約5万件に過ぎません。
ヤング氏の次のアイデアは、金融とビジネス関連の単語を組み合わせて使うことです。LinkedInには多くのビジネスユーザーがいるので、こうしたフレーズが使われる可能性が高いかもしれません。
ヤング氏の同僚であるジョシュア・ダスティン氏は最近、Twitterからより多くの単語の組み合わせをマイニングするプログラムを開発しました。このスクリプトはTwitterに接続し、目的の単語に関連するメッセージを500件取得し、それらすべての単語をリスト形式で提供します。
ダスティン氏は自身のブログで、MilitarySingles.comの侵害からMD5アルゴリズムで生成されたハッシュに対してこの手法を用いたと述べている。Twitterから抽出された4,400語のうち、1978語のパスワードがジョン・ザ・リッパー・クラッキング・プログラムによって明らかにされたと述べている。
「これは、Twitter、ウェブサイト、ソーシャルメディアを使用して関連語を提供し、より関連性の高いパスワードリストを生成するために何ができるかを示す非常に小さな例です」と彼は書いています。
LinkedIn は、パスワードを使ってアカウントにログインするために使用された電子メール アドレスが漏洩したとは考えていないと述べているものの、一部の LinkedIn パスワードの解読が困難であることは、ユーザーにとっていくらか安心材料となるかもしれない。
「これらは非常に難しいパスワードです」とヤング氏は語った。
ニュースのヒントやコメントは [email protected] までお送りください。
