サイバーセキュリティ企業による最新レポートにて、AIと高性能GPUの活用がパスワード解読能力を飛躍的に高めている実態が明らかになった。報告によれば、ChatGPT 3とA100 GPUを10,000台用いた条件下では、数字・大文字・小文字を含む8文字のパスワードをわずか2か月で解読可能とされ、従来の手法と比較して桁違いの効率性が示された。

調査チームは、ハッシュ化技術を前提とした複数の攻撃シナリオを設計し、実際のデータ漏洩事件や既知のハッシュ値を用いた再現実験を通じて、実用的なリスク評価を行っている。特に、辞書登録済みワードや使い回しパスワードについては、より短時間での突破が可能となるリスクが強調されている。

この結果を受け、多要素認証やパスキーへの移行といった対策の緊急性が一層高まる一方、依然として従来型パスワードを運用する企業や個人においては、最低12文字以上かつ複雑性の高い構成が必要不可欠であると考えられる。

AIとGPUの演算能力がもたらすパスワード解読の現実的脅威

最新のレポートによると、ChatGPT 3とA100 GPUを1万台組み合わせたシステムにより、数字・小文字・大文字を含む8桁のパスワードはわずか2か月で破られる計算となっている。

これはハッカーが使用する辞書攻撃やブルートフォース攻撃の効果が飛躍的に高まっていることを意味する。特に、過去に漏洩したハッシュ値との突合や、既知の語彙リストの活用により、ハッシュ化されたパスワードでも短期間で復元可能となる事例が確認された。

調査チームは、Hertz社の情報漏洩を含む過去の重大事例を分析対象とし、ハッシュ化手法や実際の攻撃ツールのパフォーマンス比較を行った。その結果として、現行のセキュリティ運用では高度化するAI型攻撃手法に追いつけていない現実が浮き彫りとなった。暗号強度の高いパスワードであっても、GPUの性能次第で無力化する可能性が示唆された点は、今後の企業リスク管理において看過できない。

一方で、完全にランダムに生成されたパスワードを対象とした場合でも、数万台規模の演算資源が動員されれば従来よりも格段に速い速度での解読が可能となる。もはや「強固なパスワード」という概念自体が再定義を迫られているといえる。

パスワードに代わる認証基盤への移行と残された課題

Microsoftなどの大手IT企業が推進する「パスキー」への移行は、パスワード依存からの脱却を象徴する動きである。パスキーは公開鍵暗号を用いて認証を行う仕組みで、ユーザーが記憶する必要がない点で安全性と利便性を両立している。生体認証やハードウェアトークンと組み合わせることで、不正アクセスリスクを大幅に低減できるとされている。

しかしながら、こうした新技術が普及するには一定の時間を要し、依然として大多数のウェブサービスや利用者は従来型のパスワードに依存している。特に、多くの企業システムでは古い認証基盤が残存しており、短期的にはAIとGPUの脅威に対して十分な防御策が講じられていない。利便性を重視するあまり、同一パスワードの使い回しや辞書に登録された単語の使用が横行している現実もある。

このような状況において、推奨される対策は12文字以上かつ英数字・記号を混在させた複雑なパスワードの設定であり、かつ使い回しを避けることが基本となる。ただし、これらの対策は短期的な延命措置に過ぎず、根本的な解決にはパスワード以外の認証方式への移行が不可欠である。テクノロジーの進化速度を鑑みれば、その猶予は長くないと見られる。

Source:HotHardware