(C)VTC 写真の拡大. |
- 漏洩した1.9億件のパスワードを調査
- 8700万件は1分未満で解読可能
- 調査対象の半数以上は辞書単語を含む
ロシア系ネットセキュリティ大手カスペルスキー(Kaspersky)はこのほど、パスワード類推攻撃に対する強度を分析した大規模調査の結果を発表した。カスペルスキーはこの中で、ベトナム人の苗字や名前として知られている「nguyen」について、最も簡単に類推されてしまう単語の一つとして紹介している。
カスペルスキーのDigital Footprint Intelligence部門は、情報窃取型マルウェアによって窃取され、ダークネット上で公開されていた1億9300万件の英語のパスワードを対象に、ブルートフォース(総当たり)攻撃やパスワード類推攻撃に対する強度を分析する大規模な調査を実施。その結果、分析した全パスワードのうち、攻撃者によって1分未満に解読される可能性のあるパスワードは45%(約8700万件)に上った。十分な強度があり、クラッキングに1年以上かかるパスワードは23%(約4400万件)だった。
調査したパスワードの半数以上(57%)は、辞書にある単語を含んでおり、これはパスワードの強度を大幅に低下させるという。カスペルスキーの専門家は、ユーザーがパスワードを設定する際に頻繁に使用する単語やフレーズなども明らかにした。具体例は以下の通り。
名前:「ahmed」「nguyen」「kumar」「kevin」「daniel」
よく使われる単語:「forever」「love」「google」「hacker」「gamer」
シーケンスなど:「password」「qwerty12345」「admin」「12345」「team」
攻撃者がパスワードを解読する上では、深い知識も高価な機器も必要なく、強力なノートPCのプロセッサーがあれば、8文字の小文字または8桁の数字で構成されるパスワードの組み合わせを、ブルートフォース方式を用いてわずか7分で推測することが可能。さらに、最新のビデオカードであれば、同じタスクが17秒で完了するという。
カスペルスキーは2023年中に、パスワードスティーラー(アカウント情報を盗むマルウェア)を用いたユーザー攻撃を3200万件以上検出した。この数字は、IT環境におけるパスワード窃取に対する予防策と適切なパスワードポリシーの重要性を示している。