スポンサーリンク
コラム

尼崎市・全住民の個人情報入りUSB紛失を受けて | パスワードは何桁がいいのか?

コラム
Amagasaki2022

尼崎市・全住民の個人情報入りUSB紛失

全住民の個人情報入りUSB紛失、生活保護や納税有無も記載…協力会社員が持ち出し路上で寝込む
兵庫県尼崎市は23日、全市民約46万人分の個人情報が入ったUSBメモリーを紛失したと発表した。委託業者が市に無断で持ち出していたという。USBは暗号化処理されており、市は今のところ情報流出は確認されていないとしている。
尼崎市の個人情報全部入りUSB、携帯の位置情報もとにマンション敷地で発見
兵庫県尼崎市の全市民約46万人分の個人情報が入ったUSBメモリーが紛失した問題で、市は24日、USBが大阪府吹田市のマンション敷地内で見つかったと発表した。USBのパスワードが変更された痕跡などはなく、情報流出は確認さ
個人情報入りUSB紛失、業者が無断で「再委託」繰り返す…市「報告なく契約違反」
兵庫県尼崎市の全市民約46万人分の個人情報が入ったUSBメモリーが紛失した問題で、市から業務を受託した情報システム会社「BIPROGY(ビプロジー)」(旧・日本ユニシス)が協力会社に一部業務を委託する際、市の許可を得て
尼崎のUSB紛失問題、市長が夏のボーナス195万円全額カット「反省と再発防止の決意」
兵庫県尼崎市の全市民約46万人分の個人情報が入ったUSBメモリーが一時紛失した問題で、市は29日、稲村和美市長の夏のボーナス195万1980円を全額カットすると発表した。ボーナスは30日に支給される予定だった。 稲村市

パスワードは英数字13桁…言っちゃった

USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
市民46万人分の個人情報が入ったUSBメモリを紛失した尼崎市の記者会見が波紋を呼んでいる。USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。ネットでは「セキュリティの悪例として最高の手本」など批判が続出している。

英数字

 英数字とは、a~zの26文字、A~Zの26文字、0~9の10文字、合計62文字を指す。1桁のパスワードであれば62パターン、2桁なら62×62=3844パターン、n文字なら62^nパターンになります。

英数字13桁と教えて何が悪いの?

 それはハッカーに1~12桁のパスワード解析(全体の約1.6%)を省略させ、13桁だけに集中させることになり、パスワードの解析を早く終わらせる手助けになる。更に、英数字と限定することで記号(!#$%&など)は試す必要がなくなる。ハッカーにやる気を与えてしまうので、パスワードに関する情報(暗号化方式、桁数、パスワード更新頻度など)は何も教えてはいけなかった。他のパスワードについても類推されて解析されるリスクが上がる。

省略できる割合の計算式

(英数字1~12のパターン合計)÷(英数字13桁パターン)×100≒1.6%

(1×1/62)÷1×100= – Wolfram|Alpha (wolframalpha.com)

英数字13桁の解析に必要な時間

 1秒間に100万パターン解析できる場合、パスワードが割り出されるまでの時間を計算しました。ランダムな13桁のパスワードなら解析に1億年~63億年ぐらいかかります。普通のハッカーなら諦めるレベルですが、国家レベルのハッカーならスーパーコンピューターで解析し続けて100年以内に解析するかもしれません。宝くじと同様に偶然当たることはありえます。

桁数 パターン 解析時間
1 62 1秒以下
2 3844 1秒以下
3 238328 1秒以下
4 14776336 15秒以下
5 916132832 15分以下
6 56800235584 16時間以下
7 3521614606208 41日以下
8 218340105584896 7年以下
9 13537086546263552 4世紀以下
10 839299365868340224 266世紀以下
11 52036560683837093888 16501世紀以下
12 3226266762397899821056 1023042世紀以下
13 200028539268669788905472 63428634世紀以下

「Amagasaki2022」

 英数字13桁、毎年パスワードを変更している。この情報から推測されたパスワードは「Amagasaki2022」でした。人間が覚えやすいパスワードは辞書に載っているようなありふれた単語の組合せであることが多いので、そう推測されたのでしょう。

 パスワードには、辞書に載っている単語を組合せたものを使うべきではありません。辞書攻撃といって、辞書データベースから単語を組合せて解析すれば随分効率的に割り出されてしまうからです。

悪い例:
Apple4macbook

良い例:
Xae4aibiel4sh

パスワードの桁数は多いほど良い

 全住民情報のような重要度が高い情報に対するパスワードは、設定可能な最大のパスワードにしたほうが良い。英数字62文字の場合、1桁増えるごとに62倍暗号化強度が上がります。

 情報が漏れて困るのは自分だけの場合は、暗記することも考慮して、16文字ぐらいが良いかもしれません。ランダムで生成した8文字と暗記しやすい8文字を組み合わせるという手もあります。

パスワード作成方法

 パスワードを生成するウェブサイトでパスワードを作らないでください。そのサイト運営者は生成したパスワードが分かるかもしれません。どうしても利用するのであれば、文字を入れ替えたり、複数のパスワードをミックスしてください。

 また、パスワードの強度を診断するサイトがありますが、使っている、もしくは使おうとしているパスワードを入力しないでください。インターネット経由でパスワードが漏れる可能性があります。

 pwgenコマンドでパスワードを生成することをおすすめします。コマンドのインストールは必要ですがMac、Linuxで使えます。Windowsの場合はWindows subsystem for Linux環境でインストール可能です。

 インターネット経由なしでパスワードを生成してください。

パスワードマネージャー

 パスワードマネージャーとは、パスワードの生成・管理するソフトです。強力なパスワードを生成でき、自動入力できるので、自分で覚える必要がありません。パスワードマネージャーを保護するパスワードのみ管理すれば良くなります。上手く機能すればパスワードが強くなり、便利になります。

 しかし、パスワードマネージャーに不具合がある場合、全部のパスワードが漏れてしまうかもしれません。ですから、信頼できるパスワードマネージャーを使うべきです。ブラウザーに付属しているパスワードマネージャーは、大衆的で無料なので、ハッカーに狙われやすくなります。無料のパスワードマネージャーは信頼しないほうが良いでしょう。

 パスワードマネージャーを使う代わりに、ノートに記録して保管する方法があります。インターネット経由でパスワードが漏れる心配がありません。

2要素認証

 生体認証、SMS認証、トークン認証など、手元のパスワード文字列と異質な認証方法を組み合わせると安全性が高まります。パスワードが漏洩しても直ぐには情報にアクセスできません。

GPSでUSBメモリーを追跡

 対策としてUSBメモリーなど記録メディアにGPSを付属させて追跡可能にするという報道がありました。それに対して否定的な意見が多く見られました。私はGPSを使うのは悪くないと思います。大切なのは理解できて、使いこなせる手段であることです。プライベートネットワークやクラウドで管理せよという意見もありましたが、ネットワーク経由で漏洩するリスクが高くなります。尼崎市長が概ね理解できる技術でなければ、責任も取れないでしょう。

個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入 | 河北新報オンラインニュース
 宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。 兵庫…

記録メディアは尼崎市が用意したほうが良い

 記録メディアは尼崎市が用意して、容易に複製できない印を付けます。CD-Rで渡す場合は、市長のサイン・日付を入れるなどして、渡したメディアが回収できたか確認できるようにしましょう。業者がオリジナル失くしたのに、似た記録メディアを返して紛失事故を隠そうとするのを防げます。

まとめ

 全市民の個人情報は、USBメモリーに入れるべきではありませんでした。USBメモリーは小さいので紛失すると見つけ出すのが難しくなります。正直に失くしたと言ってくれたのが不幸中の幸いです。悪知恵が働くと、同じ型のUSBメモリーを用意して、紛失したのではなく、故障したことにして終わらせたかもしれません。

 業務を多重に再委託していたことも判明しています。発注元→元請け→下請け→下請け(USB紛失)だったようです。最終的に利益が薄まって、仕事がおろそかになります。

 技術者には、プログラムの修正した時、問題なく動作するか確かめるために本番データーを手元に残しておきたい欲求があります。お客様に断りなくこっそりデーターを持ち帰る人も残念ながらいます。しかし、大きすぎる情報漏洩リスクがあるので、絶対に無断で持ち帰るのは止めましょう。

タイトルとURLをコピーしました