防御にこそ必要、パスワードクラックツールhashcat（前）

　hashcatは、パスワードクラッキングのための強力なツールだ。ペネトレーションテスターやシステム管理者にも、犯罪者やスパイにも、広く愛用されている。

Credit: Weedezign / Getty Images

　ここで言うパスワードクラッキングとは、Webサイトにログインするためのパスワードを、アカウントがロックされるまでの試行回数内で推測することではない。パスワードのハッシュから、元のパスワードを割り出すことを指す。システムにアクセスしてハッシュを得た時には、こうしたクラッキングを試みることが多い。

　現在では、パスワードがシステム内に平文で保存されていることは普通はない。ハッシュ関数と呼ばれる一方向性関数を使ってパスワードを変換した結果（すなわちハッシュ）が保存されている。パスワードをハッシュに変換する処理は一瞬で済むが、ハッシュから元のパスワードを割り出す処理はそうはいかない。ブルートフォース攻撃で割り出そうにも、場合によっては、我々が生きている間に終わらないほど膨大な処理になるかもしれない。

　しかし、単純なブルートフォースで候補をしらみつぶしに探っていかなくても、パスワードを効率的に割り出すための手段は数多くある。その1つがhashcatだ。人間がパスワードを考える時には、予測可能な何らかのパターンに従って決めていることが多い。hashcatは、そのあたりを生かして、ハッシュから元のパスワードを効率的に割り出すことができる。

hashcatの用途

　パスワードクラッキングは、もちろん犯罪者やスパイが行う場合もあるが、合法的な行為として行われるケースも多い。例えばシステム管理者なら、攻撃の先手を打ってユーザーのパスワードの強度をチェックする目的で、パスワードクラッカーを使う場合もある。hashcatで解読できるパスワードなら、攻撃者も解読できると考えられる。

　ペネトレーションテスターも、仕事の一環として、ネットワーク内でのラテラルムーブメントや管理者権限への昇格のために、パスワードクラッキングを頻繁に行う。ペネトレーションテスターは、契約を結んだうえで、顧客のシステムやネットワークのセキュリティホールをあえて発見し、セキュリティの強化に役立ててもらうのが仕事だ。したがって、こうしたパスワードクラッキングは完全に合法的である。

　つまりhashcatは、違法な攻撃にも、合法的な防御にも活用される。このツールを使った攻撃に遭わないためには、まずは自らの防御を見直し、先回りして手を打っておくのが一番だ。

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜