セキュリティ

そのシステム、パスワードのハッシュ化していますか?

Webサイトを運営する際、限られたユーザーだけが利用できるよう、ユーザーにログインを求めるサイトをつくることがあります。任意のID とパスワードは、お客様を特定できる個人情報とは言い切れませんが、扱い方を間違えるとサイバー攻撃に荷担してしまうことになり、企業の信頼を損ねるリスクがあるものです。ここではWeb担当者が知っておくべき、パスワード保存の形式「平文」「暗号化」「ハッシュ化」について解説します。

パスワードのハッシュ化

目次

深刻化するパスワード漏洩問題

パスワード漏洩事件の波紋

2019年1月、大阪ガス子会社の運営するサイト「宅ふぁいる便」が480万件のメールアドレスとパスワードが漏洩したと発表し、サービスの停止を余儀なくされました。不正アクセスによる情報漏洩というだけではここまで大問題にはならなかったはずですが、今回はパスワードが暗号化も何もされておらず、入手したらそのまま悪用できる状態にあったという点が批判されています。

パスワードリスト攻撃のリスク

10年くらい前まではパスワード保存のセキュリティ対策については現在ほど厳しく要求されていませんでした。しかし、2013年頃から増え始めたサイバー犯罪「パスワードリスト攻撃」によって事情が大きく変わりました。

「パスワードリスト攻撃」とは、外部流出したID とバスワードが闇で取引され、犯罪者がなりすましログインを試みるというものです。もしもユーザーが、同じIDとパスワードを他のWebサービスでも利用していて不正にログインされてしまった場合、そこで個人情報が盗まれたり、金銭的な被害が出る可能性があります。

そのため、すべてのWeb サービスの運営者は、自社が保存しているパスワードが万が一漏洩したとしても、犯罪者に容易に読み取られないよう対策をとることが必須になっています。

システム上でのパスワード管理方法

システムパスワード管理

パスワードの保存方式の種類

1)平文(ひらぶん)

宅ふぁいる便事件の問題点は、システム内でパスワード情報が暗号化されずに平文のままで保存されていたことです。サイバー犯罪者は入手したパスワードですぐさま様々なサービスにアクセスし、パスワードリスト攻撃を仕掛けてきます。宅ふぁいる便は1999年から継続しているサービスのため、セキュリティ対策が最新の事情に追いついていなかったとも推測されます。

Webのシステムでは、ユーザーがパスワードを忘れてしまったケースも考慮する必要があります。対応方法のひとつとして、ユーザーへメールなどでパスワードを通知する「パスワードリマインダー」と呼ばれる機能があります。パスワードを通知できるということは、パスワードそのものが平文でシステムに保管されている可能性があるということですので、もし貴社がそのようなシステムを運用している場合、一度チェックされてみた方がよいかもしれません。

2)暗号化

パスワードを暗号化して保管する方式にすることは、現在、必須です。ここでの暗号化保存とは、暗号を解く鍵(解読プログラム)を一緒に持っておき、元のパスワードに戻せる「可逆性」がある保存方法を指します。暗号化されたパスワードは万が一漏洩しても、犯罪者に利用されるまでに解読コストがかかるなど容易ではありません。そのコストの高さがサイバー攻撃の抑止につながると考えられます。

暗号化されている場合、パスワードリマインダー機能では、暗号化して保管されているパスワードを解読プログラムで元に戻してからユーザーに通知するという仕組みになります。

3)ハッシュ化

パスワードの暗号化よりも、さらに安全性が高いのが「ハッシュ化」です。ハッシュ化とは、アルゴリズムの処理によって元データを「不可逆変換」することを指します。変換後のハッシュ値から元のパスワードを復元することはできず、外部に流出したとしても不正ログインされることはなくなります。

パスワードをハッシュ化保存しているシステムでは、ユーザーがパスワードを忘れても教えることはできません。このケースでよくあるパスワードリマインダーのフローとしては、1回限りの仮のパスワードを発行してログインさせ、新しくパスワードの登録を促すというものです。

パスワード管理にはハッシュ化を

パスワードにまつわる、平文、暗号化、ハッシュ化の違いを理解していただけましたでしょうか。ユーザーログインが必要なシステムをつくる際には、パスワードがハッシュ化される仕組みになっているかどうか、確認することを強くおすすめします。

また、長く運営している会員制のサイトをもっている企業の方は、この機会にパスワードが平文保存されている部分がないか、Web制作会社を通していま一度確認してはいかがでしょうか。

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra