新連載：ツールを使ってネットワーク管理（6）
ユーザー名と同じ安易なパスワードを撲滅せよ！
〜危険なパスワード調査編〜

山本洋介
bogus.jp
2006/2/17

パスワードとユーザー名が同じ？

　律子さんの会社では自分の覚えやすいパスワードを使いたいというわがままな人が多いので、メールのパスワードをユーザー自身が変更できるようにしています。心配なのですが、前から決まっていたので律子さんもそのルールにのっとって運用しています。

　特に問題もなかったのですが、ある日博君とパスワードの話をしているときのことです。

　博君が自慢げにいってきます。

博君：「最近パスワードをユーザー名と同じにしたんですよ。超覚えやすいですよ」
律子：「え、それって、ヤバくない？」
博君：「いや、でも僕のメールなんて誰も興味ないですって」
律子：「そういうことじゃないの。会社のデータとか盗まれたらどうすんの？」
博君：「そういやそうっすね」

　博君をしかりつけてパスワードを変更させました。下っ端とはいえネットワークを管理しているというのに、こんなありさまでは……。　もしかするとうちの会社の人たちって、みんなこんなパスワードにしてるの？ と律子さんは疑問に思い始めましたので、部長に相談へ行くことにしました。

律子：「博君ったら管理者のくせにパスワードをすごく簡単なものにしてるらしくて」
部長：「そうか……」
律子：「ほかの人も自分で簡単なパスワードを設定しちゃってるんじゃないかと思うんですよ」
部長：「そりゃ、忘れると面倒だからな。それになんか問題があるのか」
律子：「でも、簡単だと、ほかの人に見つかったりしたら危険じゃないですか？」
部長：「いわれてみればそうだな。律子君もたまにはいいこというね」
律子：「えへっ」
部長：「で、早速だけど、律子君、ほかの人のパスワードが簡単なものに設定されてないか調べてよ」
律子：「えっ、どうやってやればいいんですか？」
部長：「よく分かんないけど全員分きっちり調べてね。僕はこれから会議があるんで、後は任せたから、じゃ」

　部長はさっさと消えてしまいました。

　調べてみるよういわれはしましたが、ほかの人のパスワードを確かめていくのってどうすればいいのでしょう。ゆっくり1人ずつ検査していくと何日たっても終わりそうにありません。

　もたもたしている間に悪いやつにアカウントを乗っ取られてしまったらどうしよう。律子さんは心配になってきました。さすがに一般ユーザーはメールしか使えないようになっていますが、それでもアカウントを乗っ取られるとメールを盗み読まれたり、SPAMを送信されたりする危険性もあります。

　誰かが乗っ取られれば管理者の律子さんのせいにされてクビになってしまうのではないか、そんな考えが頭に浮かんできて離れません。クビになったらせっかく新しいマシンを買ったというのにローンも払えないじゃないですか。

　律子さんは博君に頼ってよさげなツールを見繕ってもらおうかと思いましたが、さっきしかりつけた博君に聞くのはプライドが許しませんし、恨まれてちっとも役に立たないツールを紹介される可能性だってあります。

　ああ、どうしよう。考えてみたところで良いアイデアが浮かぶわけでもなく、投げやりな気分でネットでブロードバンド放送でも見ることにしましょう。最近ではオリジナルの番組も増えて、いろいろと楽しめるのです。

　しばらくテレビを見ていると、すっかり見入って仕事のことなんて忘れてしまいました。すると、急に画面が切り替わりました。画面には、

「John the Ripperでクラック！」

と書いてあります。

　そうか、John the Ripperを使って全員のアカウントを調べればいいのか。早速律子さんはJohn the Ripperを使うことにします。

次のページへ

ユーザー名と同じ安易なパスワードを撲滅せよ！
	パスワードとユーザー名が同じ？
	John the Ripperの使い方
	John the Ripperで解析してみる
	ユーザーにパスワードの変更は許可するべきか

関連記事
	ネットワーク・コマンド／ツール群の活用法を大紹介 連載 ネット・コマンドでトラブル解決 あなたのLANは健康ですか？ 現状改善から一歩進んだ構築術まで 特集：基礎から学ぶネットワーク構築 レスポンスの悪いネットワークシステム どう検証し、解決していくか？ 特集：ネットワークトラブルを解決する 運用管理に必須のツール／コマンド群 連載：24×365の運用管理

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）