JICS2014のセキュリティ・トラックに参加しました

Password

先週 1/14,15に JAPAN IDENTITY & CLOUD SUMMIT (JICS) が開催され、その中のセキュリティ・トラックに参加させてもらいました。@ITさんの記事(の後半)でセキュリティ・トラックの内容について紹介されています。

Japan Identity & Cloud Summit 2014レポート:なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか - @IT

関連するブログや Togetterのまとめもあります。
JICS2014に参加してきました。 « (n) (パネリストの一人である辻さんの記事)
JICS 2014のセキュリティ・トラックを聞いて思ったこと - r-weblife (OpenIDファウンデーション・ジャパンのエバンジェリスト ritouさんの記事)
#JICS2014 #Sec Track - クレイジーダブルポケットフランネルチェックシャツ - Togetterまとめ


このトラックでは、「ユーザの視点」「攻撃者の視点」「サイト運営者の視点」でそれぞれパスワードに関する問題について話をし、その後にパネルディスカッションを行いました。

ユーザの視点 (私)
情報漏洩の事例をもとに、多くのユーザが弱いパスワードをつけたり、パスワードを使い回したりしている状況の確認と課題の提起
攻撃者の視点 (辻さん)
攻撃者はどうやってパスワードを破るのか、攻撃手法や利用されるツールの紹介
サイト運営者の視点 (徳丸さん)
パスワードリスト攻撃への対策方法の紹介と、サイト側がどこまでやるべきなのか、悪いのは誰なのかを整理

パネルでは上記 3人にヤフーの楠さんも加わって、「リスト型攻撃の対策は結局どうしたらいいのか」「パスワードは本当にオワコンなのか」などをテーマに、どういう方向に進んでいけばいいのか、パネリスト達で議論しました。こういうパネルディスカッションには時々参加させてもらいますが、その中でも今回のパネルは中々充実した内容で非常におもしろかったと思います(参加者がどう思われたかはわかりませんが…)。内容については上の記事をご参照ください。
答えがすぐに出るようなテーマではありませんので、継続して取り組んでいく必要がありますね。


あと私の資料の中で紹介したネタについて、参考情報を以下にのせておきます。

漏洩アカウントのチェックサイト
Have I been pwned? Check if your email has been compromised in a data breach
セキュリティ研究者の Troy Hunt氏が運営しているサイト。過去に漏洩したアカウント情報をデータベース化して検索できるようにしてあります。自分のメールアドレスを事前に登録しておくと、漏洩した際にメールで知らせてくれる機能や、ドメイン検索する機能(そのドメインの管理者であることを証明する必要あり)もあります。

漏洩したパスワードを公開、販売しているサイト
UNIQPASS v14 · Large password list
Leaked Passwords
UNIQPASSは様々なサイトから漏洩したデータを集約したリストで、約2億4千万件のパスワードが含まれているらしいです。

パスワードが弱いかどうか判定するサイト
How Strong is Your Password?
パスワード チェッカー: 安全性の高いパスワードの使用 | Microsoft セキュリティ
Telepathwords: preventing weak passwords by reading your mind.
いろいろありますが、Microsoft Researchが提供する Telepathwordsはちょっとユニークです。パスワードを1文字ずつタイプすると、その文字から次の文字を推測して表示してくるので、心を読まれたような気分になります。過去に漏洩したパスワードやよく使われる言葉などから、次の文字を推測しているようです。同じパスワードでもサイトによってチェック内容が異なるため判定結果が変わってきます。

パスワードの探索空間を表示するサイト
GRC's | Password Haystacks: How Well Hidden is Your Needle?  
パスワードに使われている文字の種類と長さの情報をもとに、ブルートフォース攻撃を試みる場合の探索空間の広さを教えてくれるサイトです。パスワードの強さを判定してくれるわけではないので注意。

情報セキュリティに対する意識調査
プレス発表 「2013年度 情報セキュリティに対する意識調査」報告書を公開:IPA 独立行政法人 情報処理推進機構
IPAが毎年行っているアンケート調査の2013年度の結果。一般ユーザのパスワードの利用状況についても参考になるデータがのっています。

以上です。

JICS2014の関係者、参加者の皆様、ありがとうございました!!