先進的なAIを使って流出した数十億件ものパスワードを分析し、非常に推測しやすいパスワードを設定してしまう人間の危険な傾向が明らかに
あなたが銀行口座のために考え出した、巧妙だけれども覚えやすいパスワードは誰も絶対突破できないと思っているならば、SRIのBriland Hitajの警告に耳を傾けてみてください。「もう一度検討した方がいいですよ」
HitajはSRIのコンピューターサイエンスラボラトリに所属するシニアコンピューターサイエンティストで、サイバーセキュリティの専門家です。いくつかのピアレビュー研究で、Hitajは人間が生成した数多くのパスワードを割り出すために、ChatGPTを構築するときに使用された大規模言語モデリング(LLM: Large Language Modeling)のような新しい人工知能のメソッドを活用しました。
Hitajは、スイス連邦工科大学チューリッヒ校のJavier Rando氏とスイス・データサイエンスセンターのFernando Perez-Cruz氏と共同で、最近の論文の1つ「 PassGPT」を発表しました。これは、人々がパスワードを作成する時によくある極めて人間的なパターンを、LLMを使って明らかにしたものです。作成した人は良かれと思ってやっていることとは裏腹に、このような人間的なパターンによってパスワードはむしろ推測されやすくなっているのです。
「PassGPTは、見たことのないパスワードを、今までのモデルより2倍も多く推測することができました」とHitajは述べています。
敵対者に対抗するには
PassGPTのようなアプリは、パスワードのセキュリティに対する懸念をより広く提起できるとともに、ユーザーが日々パスワードの安全性を向上させるのに役立つ新しい強度推定器や乱数生成器を開発するのにも活用できるのではないかとHitajは考えています。
「AIは人間が生成したパスワードの弱点を明らかにし、脆弱なパスワードについて人々に警告を発し、より良い強力なパスワードの提案に利用できます」とHitajは述べています。
Hitajの研究によると、大半の人が自らにとって重要な単語、例えばペットの名前や愛する人の名前からパスワードを考え、多くの場合、Aには4、Oにはゼロ(0)、Eには3というように、形のよく似た基本的な文字や数字を代用していることが判明しています。
「パスワードに『password123456』を使っている人のことは誰もが聞いたことがあるでしょう。このパスワードは全くお勧めしませんが、もしパスワードを『pa5swØrd』にした方がより安全だと思うのであれば、その人に話をする必要があります」とHitajは言います。
Hitajによると、脆弱なパスワードよりも厄介なのは、多くの人が複数のアカウントにパスワードを使い回してしまうことです。これは、悪意を持った人がパスワードを割り出すと、その見返りがより大きくなることを意味します。サイバー犯罪者にパスワードを1つ知られると、そのユーザーの重要な個人情報や金融口座のすべてにアクセスできるのです。
ダークウェブに光を当てる
ハッカーたちは膨大なパスワードのデータベースを盗み出し、他のハッカーが悪用できるようにダークウェブに掲載しているとHitajは指摘しています。実はHitaj自身もPassGPTの分析の基礎として、まさにこれらの流出したデータベースを使用しているのです。
最大級のパスワード流出先の1つとして知られるRockYouには1,400万件のパスワードが含まれていました。HitajがRockYouのデータベースを分析したところ、例えば、最も一般的なパスワードとして、「iloveyou」のバリエーションであるilovetyler4ever、ilovematt4eva、ilovehotmail、iloveyousomuchなどがあることが分かりました。接尾辞の「4ever」と 「4eva」がバリエーションとして特によく使われているとHitajは悔しそうに指摘しています。
Hitajが開発したもう1つのAIベースのアルゴリズムはPassGANです。これは、敵対的生成ネットワーク(GAN:Generative Adversarial Network)を用いて学習するもので、自律的にパスワードの漏洩を分析し、AIが解明したパターンを基にして質の高いパスワードの候補を生成します。
「PassGANでは、ニューラルネットワークを訓練して、典型的なパスワードの特徴や構造、つまり人々がパスワードを作成する際に使用するパターンを学習させており、これらのルールを活用して候補を作成します」とHitajは説明しています。こうして作成された候補は破られにくいことが分かっています。
安全に対するアドバイス
Hitajは、より強力なパスワードを作成するためのアドバイスとして、ウェブサイト上の信頼度推定ツールがパスワードについて「強力である」とか「脆弱である」と教えてくれる場合は注意したほうが良いと語っています。PassGANやPassGPTのようなAIベースでパスワードを推測する戦略は、常にこれらの限界を押し上げようとしています。
Hitajはまた、パスワードの代わりにパスフレーズを使うことも勧めています。パスフレーズとは、8文字や10文字のパスワードとは異なり、20文字、30文字、あるいはそれ以上の長さがあるものです。パスフレーズは覚えやすいですが、推測するのははるかに難しいです。もっとよいのは、今はブラウザの大半に付属している、コンピューターが生成する乱数生成器を使うことですとも述べています。
「アドバイスがあるとすれば、できるだけランダムにすることです。これらのパスワードは覚えられないかもしれませんが、各人の個人データとお金を安全に保つことができます。銀行口座や退職年金口座、医療記録、納税口座、電子メールなど、極めて重要なデータについては、どうかお願いですから2要素認証を設定してください。」