AIによるパスワードの盗難を防ぐ方法

翻訳者 | 陳俊

レビュー | Chonglou

現在、人工知能 (AI) アプリケーションの人気と急速な進化により、ほとんど誰でも AI を使用して簡単にパスワードクラッキングなどの攻撃を実行できるようになりました。このことは業界内で懸念を引き起こしている。以下では、パスワードクラッキングの実際の意味、AI ベースのパスワード推測テクノロジー、そしてそのような攻撃からパスワードを保護する方法という 3 つの側面について説明します。

コードを解読するとはどういう意味ですか?

パスワードは長い間サイバー攻撃者の標的となってきました。パスワードを入手するだけで、すべてのセキュリティシステムを回避し、システム全体とそこに保存されているすべてのデータにアクセスできるようになります。

まず、パスワードクラッキングに関連するハッシュの概念を理解しましょう。パスワードハッシュは、元のレコード内の数字を変更することでユーザーのパスワードを安全に保存する方法です。プロセスは次のとおりです: ユーザーの実際のパスワード (通常はプレーンテキスト) が数学的に処理され、固定長の暗号化されたハッシュ値が出力されます。たとえば、Web サイトにログインするときにパスワードを「secret_password123」に設定すると、Web サイトの定義済みハッシュ関数によって、入力データに基づいて「3a5b9c1d8e7f2b6g」のような特定のハッシュ出力が生成されます。つまり、Web サイトのデータベース内のデータレコードは、「secret_password123」ではなく「3a5b9c1d8e7f2b6g」になります。攻撃者がウェブサイトのデータベースを乗っ取る場合、値「3a5b9c1d8e7f2b6g」を計算して実際のパスワードをリバースエンジニアリングする必要があります。ただし、ハッシュアルゴリズムの特性の 1 つは、一方向であることです。これにより、パスワードのクラッキングプロセスが非常に複雑になります。しかし、AI の強化により、ハッカーは多次元的でさまざまな方法を使用して、実際のハッシュ化されたパスワードを解読できるようになりました。

AIはパスワードを解読できるのか？

AI の高速な計算速度と大規模なデータセットを処理する能力により、攻撃者は暗号化アルゴリズムで保護された特定のパスワードを短縮したり解読したりできる可能性があります。その中でも最も典型的なのは、パスワードクラッキングプロセスにおける AI の学習能力です。特定の暗号化アルゴリズムを学習するのに十分なデータと時間が与えられれば、AI モデルは暗号化で使用される数学的関係を理解して解読する方法を学習できます。通常の試行錯誤の方法と比較すると、人工知能はより効果的かつ迅速にパスワードを解読できることがわかります。

機械学習に加えて、サイバー攻撃者は人工知能を使用してパスワードに対するブルートフォース攻撃を実行することもできます。ここでのブルートフォースクラッキングとは、正しいパスワードを見つけるために、すべての可能なパスワードの組み合わせを試すプロセスを指します。人工知能はこのプロセスを最適化し、パスワードを解読するための繰り返しの試行回数を減らすことができます。

さらに、人工知能はテキスト言語と文法を学習し、自然言語に基づいて暗号化キーを解読することもできます。つまり、人工知能の言語モデルを利用することで、サイバー攻撃者は頻度分析に基づく方法を使用して、より効率的にパスワードを解読できるようになります。

AIベースのパスワード推測技術

パスワードの推測には、多くの場合、さまざまな数学的手法が直接関与します。暗号研究の分野として、最も典型的な暗号解読法は歴史上有名なエニグマ暗号です。もちろん、AI では次のような数学ベースの方法も使用されます。

頻度分析: 暗号文内の文字や記号の出現頻度を分析して、暗号化キーまたはパスワードを推測します。通常、自然言語の文字には一定の頻度分布パターンがあり、暗号化されたテキストの文字も同様の頻度分布を持ちます。このパターンをキャプチャすることは、単純な暗号化アルゴリズムの場合に特に効果的です。
差分暗号解析: これはブロック暗号アルゴリズムの弱点を発見するのに理想的な方法です。この分析方法では、暗号化アルゴリズムを調べ、入力と出力の違いを見つけることで、使用されている暗号化キーを見つけようとします。
線形および差分暗号解析: 対称キー暗号化アルゴリズムを解析するために使用される数学的手法が含まれます。この手法では、暗号化アルゴリズムの線形方程式または差分方程式を使用して暗号化キーを検出しようとします。
エラー分析: 暗号化アルゴリズムの実際の実行中に、システムにさまざまな潜在的なエラーが発生したり、セキュリティ関連の脆弱性が露呈したりする可能性があります。この分析では、このようなエラーや脆弱性を悪用して、暗号化キーを都合よく取得しようとします。
ランダム性テスト: 暗号化アルゴリズムのセキュリティは主にランダム性に依存するため、攻撃者は数学的手法を使用して、暗号化アルゴリズムで使用されるランダム性 (実際にはアルゴリズムの「疑似ランダム性」に基づく) をテストおよび判定し、アルゴリズムの出力を予測できます。
特殊アルゴリズム攻撃: 暗号化アルゴリズムに関する関連知識と徹底的な調査を利用して、ネットワーク攻撃者は特定の一般的なアルゴリズムの弱点を発見し、それに基づいて特別に設計された攻撃方法を開発することができます。

上記の暗号解読方法は、ネットワーク攻撃者に役立つだけでなく、暗号解読者が使用中または採用されているキーアルゴリズムの堅牢性を評価するのにも役立ちます。したがって、パスワードのセキュリティにとっての重要性は明らかです。

パスワードのセキュリティを強化し、AI攻撃を防ぐ方法

サイバー攻撃者が人工知能とパスワードクラッキング技術を組み合わせて攻撃を仕掛けることができることを考えると、一般ユーザーはどのようにして効果的な対策を講じて攻撃に対処できるのでしょうか?

長くて複雑なパスワードを使用する

多くの人は、覚えやすい簡単なフレーズをパスワードとして使用する傾向があります。彼らは知らなかったが、この動きは攻撃者にとっても容易なものとなった。このため、単純な推測攻撃に耐えられるほど長い（少なくとも 12 文字）パスワードを使用する必要があります。

同時に、パスワードには大文字と小文字、数字、特殊文字など、さまざまな種類の文字が含まれている必要があります。たとえば、かつては難解だと考えられていた「P@ssw0rd」のような単純なパスワードを使用する代わりに、「Tr#78sF$a24pQ」のような構造的に複雑なパスワードを使用する必要があります。

長くて複雑なパスワードを覚えられないのではないかと心配な場合は、強力なパスワード管理ツールを使用してください。もちろん、昔ながらのペンと紙を使う方法も役に立たないわけではありません。

プラットフォームごとに異なるパスワードを設定する

多くの人は、異なるプラットフォーム上の複数のアカウントで同じパスワードを使用しています。このいわゆる「トラブル回避」の裏には、重大なセキュリティリスクが隠れていることがよくあります。サイバー攻撃者があなたのアカウントの 1 つにアクセスした場合、他のアカウントにも簡単にアクセスできることを想像してみてください。そのため、プラットフォームごとに異なるパスワードを作成して、アカウント間の接続を切断する必要があります。ここでのいわゆる「アカウント間の接続」は、あるアプリケーションのパスワード「password_1234」を別のアプリケーションのパスワード「1235_password」に単に変更するのではなく、繰り返される文字の組み合わせの頻度を最小限に抑える必要があることに注意してください。

2要素認証を使用する

2 要素認証 (2FA) により、セキュリティをさらに強化できます。 2FA メカニズムでは、パスワードに加えて、その後の本人確認を完了するために、携帯電話、電子メール、またはその他のデバイスにコードを送信する必要があります。これにより、悪意のある攻撃からアカウントをより適切に保護できるため、2FA を積極的にサポートしているプラットフォームでは必ず 2FA を有効にしてください。

パスワード更新およびログアウトポリシーに準拠する

パスワードを定期的に変更すると、既存のパスワードを危険にさらすことなく、過去のパスワードが盗まれるのを防ぐことができます。また、プロフィールからログアウトすることを習慣にしてください。これにより、使用されなくなったデバイスやアプリケーションなどが知らないうちに漏洩してしまうことを防ぐことができます。

AIとサイバーセキュリティの未来

人工知能技術の発展は日々変化しています。人間の生活をより便利にするために AI のユースケースを積極的に研究しているのは、技術専門家やソフトウェア開発者だけではありません。AI を使用して他人のパスワードを入手したり、その他の不正な目的を達成しようとするハッカーや悪意のある攻撃者もいます。 AI によるユーザーパスワードの盗難を防ぐ方法については、上記のシンプルで実用的な回避ポイントが役立つことを願っています。