定期的なパスワード変更は危険？　World Password Dayに英諜報機関が警告

May 25, 2016 12:00
by 江添 佳代子

日本ではあまり知られていないが、毎年5月の第1木曜日は「World Password Day」となっている。世界中のユーザーが年に一度、より良いパスワードの運用について考え、オンラインの安全性の向上を目指す世界的な記念日だ。今年のWorld Password Dayとなった5月5日にも、セキュリティ企業やニュース媒体、セキュリティ専門家などの個人が、パスワードを題材とした様々な話題を提供した。それらは真剣にパスワード管理の見直しを訴えたものもあれば、悪いパスワードの例を示したもの、あるいは日本の企業が同じことをすれば炎上しそうな冗談など、内容も多種多様だった。

ツイッターのハッシュタグ #passwordday で見られた冗談

Password Dayに関して、英国のITニュースサイト『The Registe』、また『Motherboard』などで執筆するLorenzo Franceschi-Bなどが、次のようなTweetをしている。

Tip: Use "incorrect" as your password. If you ever get it wrong or forget it, you’ll get a handy hint #PasswordDay pic.twitter.com/prP4xixY9l

— The Register (@TheRegister) 2016年5月5日

「助言：パスワードの文字列に「incorrect（正しくありません）」を使おう。たとえパスワードを間違えても、あるいは忘れても、お手軽なヒントを得られるぞ。#PasswordDay」

Oh, hey! It's World Password Day. Reply to this tweet with your passwords and I'll tell you if they're good. #passwordday

— Lorenzo Franceschi-B (@lorenzoFB) 2016年5月5日

「さあさあ、今日はWorld Password Dayだ！　君のパスワードを、このツイートにリプライしてくれ。それが良いパスワードかどうかを教えてあげるよ。 #passwordday」

It's world #passwordday. Tweet your password. Don't worry, twitter will replace it with stars. Mine is *******

— stribikⓐ (@stribika) 2016年5月5日

「今日はWorld #passwordday。君のパスワードをツイートしてみよう。心配はいらないよ、ツイッターがアスタリスクに置き換えてくれるから。僕のパスワードは*******だ」

旧来のセキュリティ規範に反したCESGの主張

そんな中で、英国デジタル諜報機関GCHQ（Government Communications Headquarters：政府通信本部）の組織、CESG（Communications-Electronics Security Group：通信機器セキュリティグループ）のアカウントが5月5日に発したツイートは次のようなものだった。

Password expiry – Why CESG decided to advise against this long-established security guideline https://t.co/8YSIZteyZ6 #passwordday

— CESG HMG (@CESG_HMG) 2016年5月5日

「なぜ CESG は、旧来のセキュリティの規範─パスワードに期限を設けること─に反したアドバイスを行うことにしたのか https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry … #passwordday」

ここに記されたURLは、CESGのサイト内の「The problems with forcing regular password expiry」という記事にリンクしている。タイトルどおり、それは定期的なパスワードの変更を強要することの危険性を説いた記事だ。つまりCESGは、多くの組織のネットワーク管理者たちがセキュリティ向上を目指してスタッフに励行している「パスワードの定期的な変更」を真っ向から否定している。

一瞬、これも分かりづらい冗談か、あるいはエイプリルフール企画のようなページなのかと疑った方もいたかもしれない。しかし英国は昨年の冬にも、すでに同様のことを主張する16ページのPDF文書を発表していた。このCESGのツイートは、「World Password Day」にあわせて彼らの勧告をより分かりやすく簡潔に説明し、広く認知させることを目的としたものだろう。そのリンク先の記事には以下のように記されている。

「定期的にパスワードを無効化すること（＝新しいパスワードに変更させること）は、多くのセキュリティポリシーに共通している一般的な要項だ。しかし我々は2015年、『CESG’s Password Guidance（PDF）』の中で、はっきりとそれに反するアドバイスを発表した。この（多くの人にとって）予想外の助言を我々が行った理由と、我々がそれを正しい善処だと考えている理由について説明する」

「ユーザーのパスワードを知った攻撃者から与えられる被害を、どのようにすれば制限できるのかを考えてみよう。明白な回答は『危殆化されたパスワードを価値のないものにするために、攻撃者の知らない新たなパスワードに変更するよう、正規のユーザーに強いること』だ。このアドバイスは、いかにも率直であるように思われる」

「問題は、頻繁にパスワードの変更を強いられるユーザーにとっての不便さ──『ユーザービリティのコスト』を、（そのアドバイスが）考慮していないという点にある。大半のパスワードポリシーは、思い出しづらいパスワードを利用するように強要する。我々のパスワードは、できるだけ長く、できるだけ『無作為な』文字列でなければならない。我々が少数のパスワードしか利用しないのであれば、それも可能だろう。しかし我々が現在オンライン生活で利用している数十のパスワードで、それを行うことは不可能だ」

その後の説明は簡単にまとめよう。私たちの脳には限界があるので、数多くのログイン用の複雑なパスワードを一つひとつ記憶し、それを定期的に変更することができない。それでも変更を強要されれば、結果として私たちは、これまで使ってきたパスワードに少しだけ変化を加えた文字列を設定したり、パスワードをどこかに書き留めてしまったり、ひとつの「新しいパスワード」を複数の認証で利用したりする。あるいは、設定したばかりの新しいパスワードをユーザーが忘れることで、システム担当者たちは頻繁にパスワードのリセットを行わなければならなくなる。それらのすべてが攻撃者にとって都合のよい脆弱性となるので、「定期的に（頻繁に）パスワードを変更させることは逆効果だ」と彼らは主張している。

CESGが薦める「対処法」と、それに対する反応

CESGの主張は、もっともであるように聞こえる。「あなたはパスワードを3ヵ月も変更していない、いますぐ変更しろ。それだと短すぎる、記号や数字も使え、大文字と小文字を混在させろ。それでいい、その文字列を忘れるな、誰にも知られないように保管しろ。また3ヵ月後に変更させるからな」と数十のサービスから強要されれば、多くのユーザーは「もう付き合いきれない」と感じるだろう。そして『Password1!』などの甘いパスワードを設定しては、毎回それを『Password2!』『Password3!』に変えるといった無意味な変更を行い、それを複数のサービスで使い回しかねない。

それならばどうしたらいいのだろうか？　CESGは組織の管理者に対して、「アカウントの不正利用を検出する効果的な防御システムの実装」を考慮してほしいとアドバイスしている。具体例としては。「そのアカウントで前回にログインを試みたときの情報」をユーザーに示し、他人が自分のアカウントにログインしようとした（失敗した）かどうかをユーザー自身が確認できる監視ツールの利用を挙げている。「システムを安全に保ち、またユーザーによる管理を効果的にするために、このような取り組みは、はるかに大きな助けとなるだろう」と彼らは記している。

この勧告に「まったくだ！」と同調したくなった方は多いのではないだろうか。日頃からパスワード管理に苦しめられているユーザーにとって、それは非常に現実的で、実践的で、しかも負担の少ない、とても魅力的な対処法であるように聞こえる。

しかし、聞き心地の良いCESGの勧告が全ての関係者から手放しで支持されているわけではない。この内容を伝えるニュース記事のコメント欄には、「罠だ。ユーザーがパスワードを変更しないほうが盗聴には好都合だ」「そもそも諜報機関の仕事はデータを安全に保つことではなく、そのセキュリティを破ることなのに、このような発表をすること自体が不自然」といった懐疑的な意見も書き込まれている。さらに『The Register』は、次のように指摘した。

「システム管理者たちは、この新しいアドバイスに眉をひそめるだろう──とりわけ彼らは『いかに人々が、あきれかえるほど簡単なパスワードを使いたがるのか』を知っており、また『職場のシステムへのログインやら、Twitterやら、あるいは何かのギフトを獲得するためのフォーム入力（そこに入力しても、結果としてあなたがギフトを得ることはないが、詐欺師たちはあなたの個人情報を販売して利益を得るだろう）に至るまで、人々は1つか2つの同じパスワードをあらゆる場所で使い回すという事実』を知っているからだ」

The Registerは回りくどい表現を好むので、もっと分かりやすく書こう。つまりユーザーは、頻繁にパスワードの変更を強いられようと、強いられまいと、とにかく簡単で破られやすいパスワードを使いたがる。さらに企業機密の詰まったシステムにログインするときでも、怪しいサイトで懸賞に応募するためにアカウントを作るときでも同じパスワードを使いたがる。どれかひとつのパスワードが漏れれば、それらのすべてが危機に晒される。たとえ上記でCESGが示したような防御システムを企業が実装しても、ユーザーが「見覚えのないログイン」の情報を見て不審に思ったときは、すでに全ての機密情報が抜き取られている可能性がある。このリスクを軽減するには、やはり複雑なパスワードを定期的に変更するよう強制するほうが安全だ、との見方もあるだろう。

CESGの勧告を信じるべきか、無視するべきかは意見の分かれるところだ。いずれにせよ、年に一度のWorld Password Dayを通して、私たちもパスワードの利用について真剣に考えてみてはどうだろう。ちなみに筆者個人は（以前にも主張している）、もはや私たちのオンライン生活をパスワード認証で守ろうとすること自体に無理があるのではないかと考えている。