AIにパスワードを推測させることでパスワード突破が容易になる可能性

by DennisM2

重要な情報を流出させてしまわないために安易なパスワードを設定しないなどの対策が行われていますが、新たな研究によって、人工知能を使うことで、攻撃者がターゲットのパスワードを容易に推測できるようになる可能性が示されました。

[1709.00440] PassGAN: A Deep Learning Approach for Password Guessing
https://arxiv.org/abs/1709.00440

Artificial intelligence just made guessing your password a whole lot easier | Science | AAAS
http://www.sciencemag.org/news/2017/09/artificial-intelligence-just-made-guessing-your-password-whole-lot-easier


「人工知能にパスワードを推測させる」という方法は以前から開発されており、ランダムな文字列を正解となるパスワードと一致するまでひたすら組み合わせるという強引な手法のほか、過去にリークされたパスワードからパスワードの生成方法を推測するという方法なども存在します。これらの手法を組み合わせるとウェブサイトによっては90%以上の正確性でもってパスワードの推測が可能になるとも言われていますが、攻撃を行う前に数年間にわたって手動でコーディングし続けなければなりません。

一方で、スティーブンス工科大学の研究者らはディープラーニングを用いることで、この速度を上げることに成功。研究者らは「generator」と「discriminator」という2つのニューラルネットワークを用いるGenerative Adversarial Networks(GAN)を使用。GANにおいて、generatorは訓練データと似た人工的な画像を生成し、discriminatorは画像が訓練データなのかgeneratorが生成した画像なのかを識別します。これが繰り替えされることで、generatorはより訓練データに近い画像が作れるようになるわけです。

研究を行ったGiuseppe Ateniese氏はgeneratorとdiscriminatorの関係を偽造者と警察の関係に例えており、経験を積み警察の識別能力があがるほど、偽造者は作品が見分けられないように腕を上げていくことと似ているとのこと。

研究チームは「PassGAN」と呼ばれるGANを作成し、ゲームサイトから流出した何千万というパスワードでPassGANを学習させました。その後、PassGANに新しいパスワード数億個を生成させ、生成されたパスワードのうちLinkedInから流出したパスワードと一致するものはいくつ存在するのかをカウント。このとき、結果は「John the Ripper」と「hashCat」というパスワード探索プログラムの成績とと比較したとのこと。

テストの結果、PassGANのみの場合、LinkedInのパスワードとマッチする確率は12%。一方で、比較対象のプログラムが生成したパスワードの一致率は6~23%。つまり、PassGAN単体で使用した場合、そこまで合致率が高いわけではないのですが、PassGANとhashCatを組み合わせることで合致率は27%にまで上がることが判明しました。

by World's Direction

ニューヨーク大学でコンピューター科学を研究するMartin Arjovsky氏は、今回の研究によって「シンプルな機械学習を適応することで、クラッカーは大きなアドバンテージを得られるという問題が明らかになった」としています。一方で、GANを使わなくとも、よりシンプルな機械学習でhashCatを援助することで、同様の結果が得られるのではという指摘もあります。この点については、Ateniese氏も査読が行われる前に調査する予定とのこと。

しかし、Ateniese氏は、現段階ではhashCatを援助するに留まるPassGANですが、学習を反復させることでhashCatを越えることができるだろうと見ています。hashCatは一定のルールに従っており、単体では6億5000万個までのパスワードしか生成できませんが、PassGanは自分自身でルールを作ることが可能なため無限にパスワードを作れるためです。

by Jay Wennington

「AlphaGoは専門家が思いつかなかったような戦略を考案しました。このことからも、PassGANに十分なデータを与えれば、人間には思いつかなかったルールを作り出すことができるのではないかと私は考えています」とArjovsky氏は語っています。

・関連記事
人工知能はいつどの分野で人間を追い抜かしていくのか? - GIGAZINE

美少女キャラクターを人工知能が自動生成してくれる「MakeGirls.moe」 - GIGAZINE

人工知能について今知っておくべき10の事柄 - GIGAZINE

DeepMindが「前進せよ」という指令だけで自分で学んで不気味な動きで突き進むAIフィギュアのムービーを公開 - GIGAZINE

「北朝鮮よりも人工知能の方が危険」とイーロン・マスクが発言 - GIGAZINE

Googleで開発中の人工知能が綴ったポエムがキモいと話題に - GIGAZINE

178

in ソフトウェア,  セキュリティ, Posted by logq_fa