「あなたの身近なセキュリティ」：第30回：パスワードのセキュリティ

記事検索

バックナンバー

【 2008/10/08 】

■	第30回：パスワードのセキュリティ［11:18］

【 2008/09/24 】

■	第29回：USBメモリのセキュリティ［12:31］

【 2008/09/17 】

■	第28回：メール編（17）迷惑メールをめぐる法改正［12:51］

【 2008/09/03 】

■	第27回：メール編（16）迷惑メールを無視する（下）［15:11］

【 2008/08/27 】

■	第26回：メール編（15）迷惑メールを無視する（上）［11:37］

【 2008/07/30 】

■	第25回：メール編（14）迷惑メールを回避する［11:51］

【 2008/07/23 】

■	第24回：メール編（13）迷惑メールに潜む罠（下）［11:25］

【 2008/07/16 】

■	第23回：メール編（12）迷惑メールに潜む罠（中）［11:18］

【 2008/07/09 】

■	第22回：メール編（11）迷惑メールに潜む罠（上）［11:18］

【 2008/07/02 】

■	第21回：メール編（10）迷惑メールが来るキッカケ（下）［11:23］

【 2008/06/25 】

■	第20回：メール編（9）迷惑メールが来るキッカケ（上）［16:01］

【 2008/06/18 】

■	第19回：メール編（8）「迷惑メール」が氾濫する理由［11:15］

第30回：パスワードのセキュリティ

● 重要なパスワードの使いまわしは危険だが……

Yahoo!オークションでは、サイトごとに違うパスワードを使うよう注意喚起している

　「Yahoo!オークション」のIDとパスワードが盗まれ、相次いで偽ブランド品などの不正出品に悪用される事件が起きた。ヤフーの調査によれば、中国経由のIPアドレスから150万回に及ぶログイン試行があり、被害者は発表当時で約5000人。被害率は0.33％ということになるが、被害率が低くても馬鹿にならない数字になることがよくわかる事例だ。

　今回の「ID乗っ取り」被害についてヤフー広報部は、「他社とYahoo!のID・パスワードが同一のユーザーが被害に遭った可能性が高い」とコメント。他社サイトから流出したIDとパスワードを用いて、Yahoo!オークションにログインを試みる形跡が見られたとしている。

　また、ショッピングサイトが不正アクセスを受け、クレジットカード情報を含む大規模な情報漏えい事件が発生したサウンドハウスの中島尚彦社長は、2008年6月に開かれたセミナーで被害の一部始終について説明。その中で「推測」と前置きした上で、「金銭的被害者の大半は、サウンドハウスのパスワードとその他のパスワードを同一にしていた人」「これを悪用すれば、3Dセキュアも崩壊してしまう。少なくとも、銀行系やカード系のパスワードは、他と同じものを使ってはいけない」などと発言している。

　本来であれば、IDとパスワードは使い回さないのが理想だ。また、パスワードについては、定期的に変更することも求められる。特にオンラインバンキングをはじめとする金融系サービスのパスワードは、ひとたび情報が漏えいしてしまうと、金銭的被害に繋がる可能性が高い。

　それでは、なぜ、そのような使い回しをするのだろうか。それはやはり、特別に記憶力のよい人でもなければ、利用しているサービスすべてのパスワードをそれぞれ別なものにして、正確に記憶し続けるのはムリだからだろう。

● 記憶で管理できなければパスワード管理ソフトが便利

パスワード管理ツールではないが、口座管理ソフトのMoneyLook3を使えば、金融機関やクレジットカード会社のログインがワンクリックで行える

　たとえば筆者の場合（比較的多いと思うが）、クレジットカードだけで9社10枚、オンラインバンキングの口座も10件ほどある。さらにISPで6件、メールで20件以上、パソコンのパスワードと、必要なパスワードの数は多い。そのため、記憶だけでこれらのパスワードを確実に管理するのは不可能だ。

　とはいえ、同じパスワードを使い回すのは危険。そこで便利なのが、パスワード管理ツールだ。

　金融系サービスに限れば、SBIホールディングスの「MoneyLook3」がオススメだ（要Yahoo! JAPAN ID）。本来は、オンラインバンキングやクレジットカードの口座管理ソフトだが、IDとパスワードを保存する機能があり、MoneyLook3を起動すればワンクリックでログイン可能になる。

　また、シマンテックのセキュリティ対策ソフト「Norton Internet Security 2009」には、個人情報管理機能「ノートン ID セーフ」が搭載されており、ツールバーからアカウントを選ぶだけでログインページにジャンプして自動ログインしてくれる。IDとパスワードは暗号化された状態で保存されるほか、インポート・エクスポート機能があり、バックアップできるようになっている。

　そのほか、筆者が使用しているLenovo製ノートPCには、パスワード入力支援のための「Think Vantage Password Manager」が付属しており、これをWebメールのパスワード管理用として普段使っている。

　パスワード管理ソフトはほかにも、フリーソフトやシェアウェアを問わず数多くある。そのため、いくつか使い勝手を試してみて、自分に合うものを選んでみても良いだろう。ただし、パスワード管理ソフトは、起動時に入力するパスワードが破られてしまうと、登録したすべてのパスワードが危険にさらされるので注意されたい。

　また、ハッカーがパスワード管理のフリーソフトを公開するようなケースも今後ないとは言えない。フリーソフトであっても、できるだけ信頼の置けるもの――よく知られた企業やフリーソフト作者、公開されてからの期間が長く、現在もアップデートされているもの――を選ぶようにすると良いだろう。

　なお、パスワードの安全性を高めるには、自動でパスワードを生成してくれるサービスを使って、サービスごとに異なるパスワードを用意するのも良いだろう。Web上でランダムな文字列を生成するサービスもある。

　ただし、自動生成されたパスワードの中には、まれに解析されやすいものが生成される可能性もあるため、パスワードの安全度を確認してから利用したい。パスワードの安全度の確認については、マイクロソフトのサイト]でも行える。同ページには「強力なパスワード : その作り方と使い方」というのリンクもあるので、参考にするとよいだろう。

2008/10/08 11:18

小林哲雄
中学合格で気を許して「マイコン」にのめりこんだのが人生の転機となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-

INTERNET Watch ホームページ