週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

パスワードを使いまわすとどうなる? 正しい設定から保管方法を覚えよう

2018年08月21日 17時00分更新

文● ノダタケオ(Twitter:@noda) 編集●ちゅーやん

 インターネットを使ううえで欠かせないものといえば「パスワード」です。SNSやショッピングサイトなどさまざまなウェブサイトおよびウェブサービスでは、なんらかのパスワードを設定することが求められるはずです。パスワードはセキュリティー保護のために必要な要素なのです。

 先週、8月13日にNTTドコモの運営するオンラインストア「ドコモオンラインショップ」がアカウントリスト攻撃による不正ログインを受け、悪意ある第三者にiPhoneが勝手に購入される被害が多数出ていると報じられました。この事件には「アカウントリスト攻撃」というものがあったとされています。

 アカウントリスト攻撃とは、何らかの方法で入手した特定のサイトやサービス利用者のIDとパスワードがセットでリスト化された情報を使い、ほかのウェブサイトでも不正アクセスされてしまうこと。パスワードリスト攻撃、リスト型攻撃とも呼ばれます。

 異なるサイトやサービスでも、同一のIDとパスワードを設定している人が多いという習慣的なものを逆手に取った手法です。そのため、特定のサイトやサービスにおけるIDとパスワードを入手すれば、異なるサイトやサービスでも同じIDとパスワードで不正アクセスできる可能性があるのです。

 不正アクセスでのパスワードに関連したサイバー攻撃には、可能な組み合わせを全て試す「ブルートフォースアタック」という方法もあります。しかし、アカウントリスト攻撃のほうがブルートフォースアタックよりも攻撃の成功率は高い(不正にログインされやすい)と言えます。総当たりでパスワードを解析するよりも、IDとパスワードがセットになったものでアクセスを試みるほうが失敗しにくいです。そのためサイトやサービス側から不正を感知されにくいとされています。

正しいパスワードを設定するために必要なポイント3つ

 利用するサイトやサービスが増えれば増えるほど、パスワードはどうしても同じものを設定しまいがちです。

 IDとパスワードの設定と管理のあり方について、総務省の国民のための情報セキュリティサイトでは、適切なパスワードの設定・管理に「安全なパスワードの設定」「パスワードの保管方法」「パスワードを複数のサービスで使い回さない」という3つのことが必要と指摘しています。

(1)安全なパスワードの設定

・名前などの個人情報からは推測できない
・英単語などをそのまま使用していない
・アルファベットと数字が混在している
・適切な長さの文字列
・類推しやすい並び方やその安易な組合せにしない
 など、他人に推測されにくく、ツールなどで割り出しにくいものが「安全なパスワード」とされています。

 その一方で
・自分や家族の名前、ペットの名前
・辞書に載っているような一般的な英単語
・同じ文字の繰り返しやわかりやすい並びの文字列
・短すぎる文字列
 は危険なパスワードです。

 また「電話番号や郵便番号、生年月日、社員コードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう」と呼びかけられています。

(2)パスワードの保管方法

 そして、「せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。パスワードの保管に関して特に留意が必要なこと」として、
・パスワードは、同僚などに教えないで、秘密にすること
・パスワードを電子メールでやりとりしないこと
・パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
・やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること
 とされています。

(3)パスワードを複数のサービスで使い回さない

 最後は「パスワードはできる限り、複数のサービスで使い回さないようにしましょう」と呼びかけられています。これは先にも挙げた「アカウントリスト攻撃」のための対策のひとつです。

 「他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります」と指摘しています。

パスワードの「定期的な変更は不要」

 以前はよく「パスワードの定期的に変更しよう」と呼びかけられていました。利用するサイトによっては、パスワード設定から一定の期間が過ぎると、パスワードの変更を促すサイトもあります。

 これについて、「国民のための情報セキュリティサイト」では「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出したりした事実がなければ、パスワードを変更する必要はありません」としています。

 また、「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」「定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定すること」が重要なのだそうです。

パスワードを覚えきれないという人は管理アプリかメモに残す

 パソコンやスマートフォンのアプリでパスワードを管理する「パスワード管理ソフト」を利用するのが一番のオススメです。

 こうしたパスワード管理ソフトはセキュア(安全)にパスワードを管理できるだけでなく、「どんなパスワードを設定しようかな?」と迷ったときソフトが自動的にパスワードをランダムな組み合わせで生成してくれる機能もあります。これをパスワード設定を求められたときに入力すれば良いでしょう。

 ただ、残念ながら信頼性のあるパスワード管理ソフトは有料、しかも、少し高額であることが多く、なかなか手が出せない(購入まで踏み切れない)人も多いかもしれません。

 そして、パスワード管理ソフトはパソコンやスマホが無ければ、そのパスワードを呼び出す(確認する)ことができない欠点があることも事実です。

 それならば、無理してパスワード管理ソフトを使うより、素直に「紙に書いてしまう」「スマホのメモに残す」でも良いと思います。ただし、「適切なパスワードをサイト毎に設定」をし「安全な方法で保管すること」は必ず守りましょう。

 若い世代の子どもたちであれば「スマホのメモに残す」という手段を取る人が多いのかもしれません。この場合「必ずスマートフォンのロックはかける」ことは言うまでもありませんが、できることなら「メモそのものにパスワードをかける」ことが望ましいです。

 一方、大人たち、特にご高齢者の方たちであれば「紙に残す」ことを選ぶかもしれません。100円ショップなどでA5版やA6版ほどの小さなノートを用意し、そこへパスワードをまとめても良いと感じています。できることなら、いつも使っている手帳などとは「別」にしたり、さらには「IDとパスワードをも別々に分けて管理する」ような工夫があったりするとより良いでしょう。

 もちろん、先の「(2)パスワードの保管方法」でも触れたように「他人の目に触れる場所」に残すことは避ける必要があります。「鍵のかかる机や金庫」とまではいかなくとも、絶対に他人の目に触れられたり、落としたりしない、そして自分が必要となったときに探し出すことができる「安全で確実な方法」で保管することが大切です。

 ノートにまとめてしまうのは「リスク」と思うかもしれません。ですが、適当にIDとパスワードを残して他人に見られてしまうより、決められた場所にちゃんとまとめ、ノートを安全で確実な方法で適切に保管したほうがそのリスクは軽減されると思います。

二段階認証を積極的に利用してみよう

 こうした不正ログインを防ぐため、最近ではいろいろなウェブサイトで「二段階認証」と呼ばれる仕組みが取り入れられています。これまでのIDとパスワードの組み合わせで本人確認をするほかに、もうひとつ本人確認の要素を増やすことによって安全性を高めるものです。

 代表的なものとして、IDとパスワードを入力してログインをしようとすると携帯電話へSMSで1回だけ有効なパスワードや数字が送られてくる「携帯電話認証」、アプリや専用デバイスで表示される使い捨てパスワードを入力する「ワンタイムパスワード認証」などが挙げられます。

 冒頭で触れたドコモオンラインショップへの不正ログインに対しても、NTTドコモではdアカウントの「二段階認証」を利用していれば被害は防げたとして、改めて設定を呼びかけています。

 ドコモオンラインショップに限らず、日常でも利用頻度が高いYouTubeやTwitter、Facebook、Instagramなどのソーシャルメディアでも二段階認証を設定できます。特にGoogleアカウントやソーシャルメディアのアカウントは、ほかのウェブサービスで「GoogleアカウントやSNSアカウントを使って他のサービスへログインする」ことも多いはず。

 いまからでも、ログインをしようとするたびにパスワードの設定や、二段階認証が有効になっているかを見直す習慣をつけることをオススメしたいです。

ライブメディアクリエイター
ノダタケオ(Twitter:@noda

 ソーシャルメディアとライブ配信・動画メディアが専門のクリエイター。2010年よりスマホから業務機器(Tricasterなど)まで、さまざまな機材を活用したライブ配信とマルチカメラ収録現場をこなす。これらの経験に基づいた、ソーシャルメディアやライブ配信・動画メディアに関する執筆やコンサルティングなど、その活動は多岐にわたる。
nodatakeo.com

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう

この連載の記事