ネットセキュリティ今どきのキホン

第10回

パスワード管理の2つの対策とその実践方法

  • 森本 純

2016年6月28日 06:00

 今やタブレット端末/スマホはもちろんのこと、自動車や洗濯機、メガネに時計と身の回りのあらゆるモノがネットに繋がるIoT(Internet of Things)時代となりました。こうした環境の変化を感じながらも、ネットを利用する際のセキュリティ意識は特に変わらないという方は多いのではないでしょうか? 便利で楽しい仕組みが開発されると、新たな仕組みを悪用するサイバー攻撃が出てくるのは、残念ながらネットの歴史における事実です。とはいえ、必要以上に心配する必要はありません。この連載では、皆さんがネットを使う上で知っておきたい今どきのネットの危険と、それらを避けるためのキホンを紹介します。

 ネットショッピングやSNS、オンラインゲームといったネット上のサービスを利用するときには、アカウント、いわゆるIDとパスワードによるログインが欠かせません。皆さんは、ご自身が一体どれくらいのアカウントを持っているか把握していますか? そして、それらのアカウントを安全に管理できていますか? 今回は、ネット利用時に欠かせない、パスワード管理のキホンを確認しましょう。

パスワードの管理に注意を払っていますか?

 ネット上のサービスに対する不正アクセスの事例が後を絶ちません。アカウントの持ち主ではない悪意ある第三者がSNSやファイル共有サービスなどに不正ログインし、プライベートな写真や動画を盗み見たり、本人になりすまして勝手な投稿を行ったりする攻撃が国内外で確認されています。

 パスワードが破られ、不正アクセスを引き起こしてしまう要因の1つには、サービス利用者である私たちのパスワード管理の甘さがあります。もしも、誰でも推測できるようなパスワードを設定していると、攻撃者にパスワードを破られる可能性が高まります。

 また、アカウントリスト攻撃とよばれる不正アクセスの手法でも、利用者のパスワード管理の甘さを突かれます。アカウントリスト攻撃は、攻撃者がどこかセキュリティの弱いネット上のサービスに侵入するなどして、そこで利用されているアカウントを盗み出すところから始まります。アカウントリスト攻撃を仕掛ける攻撃者は、さらに盗んだIDとパスワードのリストを使って、その他のネットサービスにも不正アクセスを試みるのです。もしも被害者がその他のネットサービスで同じIDとパスワードを使っていると、1カ所のサービスで不正アクセスされるだけでなく、その他のサービスでも被害を受けてしまいます。

 サービス提供側はこうした攻撃の被害を防ぐために、日々セキュリティの強化に努めていますが、利用者である私たちも自身のパスワードを適切に管理することで、被害を最小に防ぐことができるのです。そして、対策は極めてシンプルです。「推測されやすいパスワードを使わないこと」、そして「パスワードを使い回さないこと」の2つです。

 ただし、やるべきことは分かっても、これらの2つを実践するのは容易なことではありません。そこで次は、安全なパスワード管理の実践方法を紹介したいと思います。

推測されにくいパスワードを作るこつ

 実の所、コンピューターに処理をさせて何万回、何十万回とパターンを試せば、私たちがいかに複雑なパスワードを設定したとしても、最終的には時間さえかければ破られてしまうでしょう。だからといって、複雑なパスワードを設定することが無駄であるとは言えません。多くのサービスでは、パスワードの試行回数を監視しており、不自然な回数のパスワード試行があれば攻撃を検知・防御できるような仕組みを備えています。したがって、誰でも思い付くようなパスワードを設定しないことは重要な対策の1つです。

 このとき、意識することは大きく3つです。

  • できるだけ長い文字数を設定すること
  • できるだけたくさんの文字種別(記号や数字、特殊文字、大文字、小文字など)を使うこと
  • できるだけ辞書に載るような単語を利用しないこと

 とはいえ、実際に複雑で無規則な文字列を覚えるのは大変です。そこで、あなたにとっては身近で、他人からは推測されづらいパスワードの生成ルールを作ってみるのも一案といえます。

作成の例:

①友人のあだ名を組み合わせる
 mori+tana

②一部を大文字や特殊記号にする
 m0Ri+t@Na

③ペットの誕生日で挟む
 8m0Ri+t@Na9

パスワードを使い回さないこつ

 次なる問題は、こうして作った推測されにくいパスワードを使い回さないように、自身の利用するサービスの数だけ用意して、ログインの際に参照できるようにすることです。例えば、利用するサービスごとに、イメージする単語などを用意して組み合わせるなど、使い回さないためのパスワードの生成ルールを考えるのも一案といえます。

作成の例:

①それぞれのサービスごとに、イメージする友人のあだ名を組み合わせる
 サービスA mori+tana
 サービスB mori+naka

②一部を大文字や特殊文字にする
 サービスA m0Ri+t@Na
 サービスB m0Ri+n@Ka

③それぞれのサービスごとに、イメージする動物の名称で挟む
 サービスA dom0Ri+t@Nag
 サービスB cam0Ri+n@Kat

 とはいえ、推測されにくいパスワードとは、結局は人の考えでは生成しにくい覚えにくいパスワードです。出来上がったパスワードを頭の中で記憶するには限界もあるでしょう。

 ノートに書き留めて他者に見られないよう厳重に保管するといった方法もありますが、パスワードを安全かつ便利に保管してくれる専用のアプリやソフト、いわゆるパスワード管理ツールを利用するのも1つの手です。

 パスワード管理ツールは、推測されにくいパスワードを生成したり、それぞれのサービスごとのIDとパスワードを安全に保管した上で、サービス利用時には自動ログインをしたりする機能を備えています。クラウド上で管理をする仕組みのツールであれば、パソコンからでもスマホからでもタブレットからでも、利用することができます。

パスワード管理ツールの利用イメージについては、こちらの動画も参考にしてみてください。「使いまわすと被害が拡大!? パスワードを狙う脅威への対策」(トレンドマイクロ公式YouTubeチャンネル)

 パソコンやスマホを狙う脅威に対しては、セキュリティソフトに対策を任せるのと同様に、いまやネットの利用に欠かせないIDとパスワードの安全な管理については、パスワード管理ツールに任せることで、より安全に便利にネットを楽しみましょう。

森本 純

もりもと じゅん:トレンドマイクロ株式会社 マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト。インターネットを安全に楽しむためのセキュリティ情報サイト「is702」の企画・運営をはじめ、セキュリティエンジニアとしての実務経験をもとに大学生から企業ユーザーまで広くさまざまな立場の人への脅威啓発活動を担当。