拓海先生、最近うちの若手から『メールアドレスがパスワードを当てる手掛かりになる』なんて話を聞きまして。正直ピンと来ないのですが、本当にそんなことがあるのですか。
素晴らしい着眼点ですね!田中専務、それは確かに起こり得ますよ。最近の研究で、メールアドレスという公開情報を条件にして深層学習でパスワードを予測すると、かなり当たりやすくなることが示されていますよ。
でも拓海先生、うちは工場の古いやり方が多い。メールアドレスなんて社外に漏れるものでもないと思ってました。これって要するにメールアドレスを知っているとパスワードを当てやすくなるということ?
はい、その理解で本質を捉えていますよ。大丈夫、一緒に要点を3つにまとめますね。1つ目、メールには個人情報や構造が含まれるためパスワードに影響する。2つ目、深層学習(Deep Learning、DL)はそのパターンを見つけられる。3つ目、対策は管理側の認識で大きく変えられるんです。
なるほど。具体的にはどうやってメールから当てるんですか。うちが投資すべきは何でしょう。
専門用語を使わずに説明します。メールアドレスは名や姓、ニックネーム、会社ドメインなどを含む。人はそれらを元に覚えやすいパスワードを作りがちだ。深層学習は大量の例を学んで、メールの構成と似たパスワードを優先的に「提案」できるんです。
その『提案』が悪意ある攻撃に使われるなら厄介ですね。現場に帰って何を指示すれば良いですか。
投資対効果の観点で言えば、まずはパスワードポリシーの見直しと多要素認証(Multi-Factor Authentication、MFA)の導入が最優先です。次にパスワードマネージャーの教育とブリーチ対応の準備です。これだけでリスクは大幅に下がりますよ。
なるほど、要は手堅いガバナンスと少しの教育でかなり防げると。承知しました。では社内会議でこの案を説明してみます。自分の言葉でまとめると、メールアドレスの情報があると深層学習でパスワード推測が効きやすいので、まずはMFAとパスワード管理の運用を整える、ということですね。
