第16回 こんなパスワードは危険
「今回はお客様ご自身で簡単に更新作業ができるよう、WordPressというシェアNo.1のCMSをご提案させて頂きます。」
ウェブサイトリニューアルのご紹介案件が来て、このような提案を送ったのが、8/28。
「ロリポップ!レンタルサーバーに大規模な不正攻撃、WordPressサイト8,438件に不正改ざん」
というニュースが流れたのが翌日29日。
この記事を書いている9/1時点でロリポップの公式サイトで発表されている内容から原因をまとめてみると、こういうことらしい。
”共有サーバーなので複数のユーザーが同一のサーバーを利用している。
WordPressを設置した場合に、wp-config.phpという設定ファイル内に使用データベース名、接続ユーザ、パスワード情報が入っている。
このファイルが他のユーザー(がアップロードしたプログラム)から見られるウェブサーバーの設定とファイルパミッション(権限)設定になっている場合、データベースへの接続情報がわかってしまう。
よって、悪い人によりデータベースの情報を書き換えられてサイトを改ざんされてしまった。”
ロリポップ以外のレンタルサーバーでも、GMOのinterQでも同じことが発生しているようですね。
ロリポップといえば激安レンタルサーバーの老舗で、ユーザー数も多く、価格も手軽。
一方WordPressもCMSでのシェアが非常に高く、簡単に設置できることから、非常に多くのユーザーが利用している組み合わせ。
さらに悪いことに、権限設定しないユーザー層も多いため、大量のサイトが改ざんされてしまうという結果になったのでしょう。
レンタルサーバー共通の設定や権限設定などが原因のようですが、これをきっかけに、「WordPressってセキュリティ大丈夫なの?」というマイナスイメージが世の中に広まっちゃったんではないかなーと心配です。
これ以外にも、@pagesという無料レンタルサーバで、17万人のユーザのパスワード含む個人情報流出や、2ちゃんねるビューアのユーザー情報約3万2000件流出の可能性など、8月末はインターネット界隈で個人情報流出の大きなニュースが立て続けに起こりました。
夏休みの暇な時期にクラッカーの活動も活発になるんですかね。
ところで皆さんはパスワードをどのように決めてますか?
今回はあぶないパスワードについて考えてみたいと思います。
例えば、”apple”といった英単語のみや、”0912”のような自分の誕生日になぞらえた数字のみは、パスワードとしては危険というのは一般的に認知されてきていることと思います。
そのため、なるべく英語と数字、できれば記号も交えたフレーズになっていない長いパスワードにしなければいけないということも知られているでしょう。
”apple0912”とか、”apple好き+誕生日”なんて組み合わせもNGですね。
それでもちゃんとランダムなパスワードを設定している人は少ないのではないしょうか?
パスワードクラックの方法のひとつに、辞書攻撃というものがあります。
長年多くのユーザーに使用されてきたパスワードの傾向が凝縮された、パスワード辞書に載っているものを順番に使用してログインを試みるというものですが、この辞書は様々なサイトからダウンロードすることができちゃうんです。
つまり、オープンソースになっているということです。
じゃあ試しに見てみよう!という方、怪しいサイトも多々あるのでダウンロードを実行するのは自己責任でお願いします。
この辞書を悪用するのではなく、辞書に掲載されているパスワードを分析することで、逆に危険なパスワードの傾向が見えてきます。
先ほどの、”apple0912”のようなものや、”123abc”といったものは当然危険ですが、それ以外で危険なパターンをいくつかご紹介。
思い当たる人はドキッとして、パスワードの変更を検討して頂ければと思います。
■数字とキーボードの配列を組み合わせたパターン
1234qwer
1q2w3e4r
1a2b3c
単語になってないし数字も入ってるからいいでしょ、というパターンですね。
辞書にバッチリ載ってますのでご注意を。
■toを2、forを4に置き換えて文章パターン
nice2meetuやpray4meなど。
特にプログラミングをしていると、AからBに変換する関数名をA2Bという風にする文化があるため、パスワードに使っちゃいがちですがNGです。
■leetspeak(リートスピーク)を使うパターン
0racl38iや、p455w0rdなど。
leetspeakとは、英単語のoを0,lを1、,eを3,aを4,sを5,gを6、Lを7,Bを8,qを9などで置き換える、英語版の2ちゃん用語。
(ネ申)やギャル文字(ぅちら食欠ゐナニ″ょ)のようなものです。
googleの検索ページでもleetspeakで表示されているページがあるのですが、
https://www.google.com/?hl=xx-hacker
左上から
search→s34rCh
images→Im4635
BLOGGER→870663R
というように置き換えられています。
うまいように文字と数字の混合に置き換えられるので、セキュリティ的に安全そうに見えますが、バッチリ辞書に載ってます。
いかがでしょう。
思い当たる節がある方は、是非パスワードの変更をご検討頂ければと思います。