国や地域による パスワード特性の差異分析 Analysis of Differences in User Password Characteristics by Countries 2022/03/04 〇倉﨑 翔大、金岡 晃（東邦大） 

1 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法 – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ 

背景 2 パスワードの強度指標には 推測攻撃への耐性が適していることが示唆されている （Tanら@CCS2020）。 一方、ユーザが設定するパスワードの特徴が、 国ごとに違うことがいくつかの研究で知られている （森ら@IEICE Trans. On Inf. & Sys.2020）。 より正確な推測攻撃耐性の計測には 国ごとに辞書の用意が必要 しかし、辞書の違いによる推測攻撃の成功率の差異が 細かく論じられていない 

目的とアプローチ 国Aのパスワード群への推測攻撃に用いる辞書を 国A用のものにしたときと他国用のものにしたときの 差異がどのようになるか 3 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする 汎用性の高い辞書を持つ国はどこか 他国用の辞書による推測への耐性の強い国はどこか 1 2 3 アプローチ方法 

4 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法 – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ 

利用データ 5 • 過去の漏洩データを集約したと思われるもの • 平文パスワードだけでなく、 IDとなるメールアドレスとペアになったデータセット • 1,400,553,869ペア 2017年に発見されたパスワード漏洩データセット 

利用データ 分割後、データ数が10万以上であった 64のTLDのデータを利用 各TLDのデータごとの頻出パスワード上位1万を そのTLDに特化した辞書とした 6 国別という明確なラベルがないので、 国の影響を色濃く受けると想定されるラベルとして メールアドレスのTLDを採用し、データセットを分割した 

略語 7 • 自TLD辞書 – 推測攻撃の対象となるTLDの推測に特化した辞書 • 他TLD辞書 – 推測攻撃の対象となるTLD以外のあるTLDの推測に特化した辞書 • 自TLD推測 – 自TLD辞書による推測 • 他TLD推測 – 他TLD辞書による推測 

評価方法 推測耐性評価 hashcat 8 辞書に掲載している単語をルールに基づいて 変更や切り取り、拡張などをすることで 網羅的かつ効率的な推測攻撃を行う攻撃モード 例：password→Password, password1 Rule-based attackモードで攻撃 ルールには”best64.rules”を採用 Rule-based attackモード hashcatの開発元が変更ルールとして 最も効率が良いとした77行分のルールのセット best64.rules 利用ツール 

推測耐性評価 9 各TLDに特化した辞書（自TLD辞書、他TLD辞 書）を使って 64個のTLDデータに対する推測成功率を 計64×64=4096パターンで計測 自TLD推測となる際は、交差検証で計測 評価方法 

10 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法 – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ 

11 自TLD推測と他TLD推測の成功率(評価 ) 1 自TLD推測の成功率 ＞ 他TLD推測の成功率 平均値 21.9% 平均値 11.3% 

12 自TLD推測の成功率が低いTLDが上位から タイ・フィンランド・ベルギー・スイス・台湾・ EU・トルコ・マレーシア・韓国・日本 となっており、 欧州でも北寄りの国家とアジアの国家のccTLDが多い best64は英語圏パスワード向け？ 辞書掲載単語の変更ルールも 国や地域ごとに適したものがある可能性 自TLD推測と他TLD推測の成功率(評価 ) 1 考察 

他TLD推測時に有効な辞書TLD(評価 ) 上位（汎用性が高い） 下位（汎用性が低い） ca（カナダ） 9 cn（中国） 15 com 9 kr（韓国） 12 net 9 tr（トルコ） 10 org 9 th（タイ） 9 edu 6 vn（ベトナム） 7 13 2 他TLD推測時に推測成功率が高かった辞書のTLDが 辞書TLDとして汎用性の高いTLDと判断し、 4032の組み合わせに対して、各辞書TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、辞書TLDとして頻出するTLD 

他TLD推測時に有効な辞書TLD(評価 ) 14 2 汎用性が高いTLDは、gTLDと英語圏のccTLDとなった。 一方、汎用性が低いTLDは、中国・韓国・トルコ・タイ・ベトナム といったアジア諸国のccTLDが上位を占めた。 汎用性が高いTLDがgTLDと英語圏のccTLDとなっているのは、 英語圏のTLD数が多いことが原因と考えられる。 汎用性が低いTLDがアジア諸国のccTLDに占められているのは、 非英語圏であることや、ccTLDや言語自体の独立性が高いことが 原因と考えられる。 考察 結果 

他TLD推測に耐性のあるTLD(評価 ) 上位（推測耐性が高い） 下位（推測耐性が低い） fi（フィンランド） 32 au（オーストラリア） 13 be（ベルギー） 14 us（アメリカ） 12 nl（オランダ） 12 vn（ベトナム） 12 hu（ハンガリー） 7 ca（カナダ） 9 eu 6 nz（ニュージーランド） 7 15 3 他TLD推測時に推測成功率が低く済んだ攻撃対象のTLDが 推測耐性の高いTLDと判断し、 4032の組み合わせに対して、攻撃対象TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、攻撃対象TLDとして頻出するTLD 

他TLD推測に耐性のあるTLD(評価 ) 16 推測耐性が低いTLDの多くは英語圏のTLDであったが、 表にあるベトナム(vn)に加え、オマーン(om)や アイルランド(ie)といった非英語圏のccTLDも含まれた。 3 推測耐性が低い非英語圏TLDは、ドメイン利用がその国のみならず 汎用TLDのように世界に開放されていることから ドメインが英語圏ユーザーの多いサービスで採用され、 パスワード集団として英語圏の性質が強い可能性が考えられる。 考察 結果 

まとめ 17 パスワード強度評価の結果が、 パスワードの強度を 正しく示せていない可能性が明らかになった。 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする。 目的 国別データの代わりにTLD別データを用い、 64のTLDに関して推測耐性評価を行った。 アプローチ 推測攻撃の成功率には、TLDごとに差異があり 地域差や言語の独立性などがかかわっている可能性が示された。 結果