MENU

核ミサイルのパスワードは「00000000」

column

2019年02月13日

合同会社エムアイティエス代表 水谷哲也

核ミサイルのパスワードが20年間「00000000」だった

パスワード、しっかり管理していますか。

アメリカ大統領の後ろをいつも黒いブリーフケースを持った職員がついています。この黒いブリーフケースは核のフットボールと呼ばれ、中には大統領が司令部を離れている時に核攻撃の許可を出せる道具が入っています。核兵器の発射コードも入っていて、このコード(パスワード)に従って攻撃するはずですが、冷戦時代、20年間にわたって無視されていました。核攻撃の許可を与える権限が大統領にあるにもかかわらず、現場ではミサイルの使用準備が確実にできるように8桁の数字「00000000」にしていました。

別のパスワードにする動きもありましたが、現場では即座にパスワードを「00000000」にリセットし、このコードはミサイル格納庫で勤務するスタッフによく知られていました。

パスワードの大切さを現場では理解しているはずですが管理側が思っているのと違う運用になってしまいがちです。

定期的なパスワード変更はかえって危ない

組織によっては3ケ月に1回ほど、強制的にパスワード変更を求められます。しかも前に使ったパスワードは使えず新規に考えなければなりません。定期的にパスワードを変更することでセキュリティの強度をあげたいのは分かりますが、問題は利用者が一つではなく、いろいろなサイトでパスワードを求められていることです。いちいち覚えられないので、パスワードの使いまわしが行われます。

結果、どこか一つのサイトがサイバー攻撃を受けてIDやパスワードが流出すると闇サイトで売買されてしまいます。ソニー、トヨタ、東芝などの社員情報が、大量流出していることが明らかになりましたが、漏れたのは会社からではなく人材紹介サイトや業務依頼を行った取引先のサイトからです。流出規模は合計約16億件で海外の闇サイトで販売されていましたが、現在は公開サイトで提供されています。パスワードを使いまわしていると漏れたIDやパスワードを使って、いろいろなサイトに簡単に入ることができます。

強制的なパスワード変更では、どうせ3ケ月後に変更されるなら、新しいパスワードをいい加減に作る傾向にあり、どこかの1文字だけを順番に変えていくなどのパターンになります。ほとんどの利用者は自分がいつも使っているパスワードの末尾に0や1の数字をつける枝番付をしています。0~9の数字とアルファベットで36回の変更に対応できますが、これって意味があるのでしょうか。

流出したパスワードに枝番をつけて攻撃すれば、すぐ破れます。そこで総務省では「国民のための情報セキュリティサイト」の内容を変更し、パスワードを定期的に変更させるとパスワードの作り方がパターン化し簡単になって、かえって危険と警告しています。またアメリカでも「電子認証に関するガイドライン」を変更しており、世界の潮流は頻繁にパスワード変更を求めるべきではないになっています。

デフォルトパスワードをほったらかしにしていませんか

個人のパスワードだけでなく複合機やウェブカメラのパスワードにも要注意です。複合機を単なるコピー機やプリンターと認識している人が多いのですが実態はサーバーです。複合機の納入事業者から「パスワードがデフォルトになっていますので、後で設定しておいてください」と聞いているはずですが、聞き流しているのか忘れているのかデフォルトになったままの複合機が多くあります。メーカー別のデフォルトIDとパスワードがネットに出回っていますので簡単に侵入することができますし、デフォルトパスワードのままの機器を探せる特別な検索エンジンがあります。

複合機のほかに駐車場の防犯カメラや工場内カメラでも、デフォルトのままでほったかしにされている機器があり世界中から見ることができます。

対策しましょう

パスワード管理ソフトを活用しましょう。面倒なパスワードはソフトが管理してくれますのでサイトごとに複雑なパスワードを設定して全て変えます。サイトにアクセスする時はパスワード管理ソフトに登録されているパスワードが自動入力されます。パスワード管理ソフトを起動する時に要求されるパスワードだけ、めちゃくちゃ複雑にし、これだけを覚えればパスワードの使いまわしを防げます。

  • 掲載しているブランド名やロゴは各社が所有する商標または登録商標です。
  • この情報の著作権は、執筆者にあります。
  • この情報の全部又は一部の引用・転載・転送はご遠慮ください。