「パスワードは定期的に変えるべき？ 変えない方がいい？」掘り下げると長くなるネットの疑問～IIJに聞きました

今回の回答者： ネットワークサービス事業本部 秋良雄太さん

ネットワークサービス事業本部 セキュリティ本部 セキュリティビジネス推進部 インテグレーション課シニアコンサルタント
企業のサイバーセキュリティ対策を支援しており、コンサルティングやアドバイスに加え、実際にインシデントが発生した際の対応を行っています。また、インターネット全体で発生するセキュリティ関連の動向も分析しています。

秋良さん：セキュリティに関する解説書やマニュアルでも、「パスワードは定期的に変えるべき」だったり「変えなくてもいい」だったりと、言っていることが違うことがありますね。「変える」「変えない」という点だけ見ると、なぜ、同じセキュリティの話なのに正反対のことを言っているんだろう？　と疑問に思うのも当然だと思います。

　最初に結論めいたことを言うと、この問題は「変える」「変えない」のどちらか一方が正しいという話ではありません。

　変えた方がいいけれど、変えることを求めると、より深刻な別の問題が起きやすくなるので、「変えなくていいから複雑なパスワードを設定してください、と説明されるようになった」のが現状です。

　今回はまず、パスワードが破られるパターンを紹介し、それらの対策となるパスワードの守り方を考えて、なぜ「変える／変えない」という双方の説明がされる（された）のか、という理由までお話ししたいと思います。ちょっと長い話になるかもしれませんが、お付き合いください。

パスワードが破られる手口は複数あり！

秋良さん：と、いうことで、まずはパスワードが破られるパターンについてです。近年の、攻撃者がパスワードを破る方法は、主に以下の4種類に分類できます。

1. パスワードを解析する
2. ユーザーをだまして入力させ、盗む（フィッシング詐欺など）
3. 企業などのサーバーに侵入して盗む（サーバーへの攻撃）
4. ユーザーのデバイスから盗む（マルウェア感染）

秋良さん：これ以外にも、例えば「パスワードを書いたふせんをPCに貼っていて盗視された」のような古典的なケースなどもあり得ますが、今回は省略します。

　1は、要するにパスワードを「当てる」ことです。誕生日などから推測してパスワードを当ててしまう、というのも1つの手法ですが、特定個人を明確に狙うのではなく、多数を狙うサイバー攻撃で用いられるのは、想定される文字列を手当たり次第に試行して、偶然ヒットすることを期待する方法です。

　パスワードによく使われる単語や文字の組み合わせをリスト化したものを用いて攻撃することから「辞書攻撃」とも呼ばれています。よく話題になる安易なパスワード、例えば「12345678」のような文字列を仮に使っていたとしたら、それは攻撃者の辞書にも当然載っていて、簡単に解析されてしまうでしょう。今の一般的なユーザーの生まれ年や、生年月日にあたる数字なども危険です。

辞書攻撃のイメージ

　こうした解析を防ぐには、よく言われるように、推測されにくい複雑なパスワードにすることが有効になります。

　2は、ニュースなどで聞く機会も多いですが、あらためて簡単に説明すると、ECサイトや金融機関、公共機関などになりすまして偽のメールやSMSを送り、その中のリンクをクリックさせて攻撃者が作った偽のサイトにユーザーを誘導します。そして、そこでユーザーにIDやパスワードを入力させ、盗んでしまう、というものです。

　この方法を使われた場合、どんなに複雑なパスワードにしようが破られてしまうことになります。

　3は、「○○社のサーバーに不正侵入があり、個人情報が流出」のように、しばしばニュースになる事件です。マルウェア感染やフィッシングを足がかりに、サイバー攻撃者が企業のサーバーからパスワードのデータを盗みます。ユーザーの立場で、直接何か対策ができることではありません。

　多くの場合、サーバーにパスワードがそのまま（「平文」と呼ぶことがあります）保存されているわけではなく、暗号化が施されていて、データが盗まれたら即破られるとは限らないのですが、あまりにも単純なパスワードの場合「この文字列を一般的なパターンで暗号化するとこの文字列になる」と知られていることがあります。このようなことを対策する意味でも、複雑なパスワードにしておきましょう。

　4は、「インフォスティーラー」（文字通り「情報を盗む者」）と呼ばれるマルウェアにより、ユーザーのPCやスマートフォン、またはウェブブラウザーに保存されているデータを盗みます。マルウェアの感染経路はメールやウェブサイトなどさまざまで、怪しいメールは開かない、怪しいURLをクリックしない、といった基本的な対策を徹底するとともに、流行の手口を知って対策するのが大事になります。

　盗まれても暗号化されていればすぐ破られるとは限らない……というのは3の場合と同様です。また、そもそも「保存しない」ことも対策になります。ウェブブラウザーなどで「パスワードを保存しますか？」と言われますが、保存しないようにすれば、ウェブブラウザーを狙うインフォスティーラーから盗まれることはなくなります。ただ、利便性は下がってしまいますよね。

効果的な対策は「複雑さ」と「変更」、そして「使いまわさない」

秋良さん：以上のようなパスワードが破られるパターンを見ていくと、対策として大事なことが3つほど見えてきます。分かるでしょうか？

——1つ目は、お話にあった「推測されにくい、複雑で長い文字列にする」ですよね。ほかの2つは……？

秋良さん：1つはそうですね。「複雑さ」です。

　2つ目と3つ目に関しては、もう少しヒントがあった方がいいですね。私たちは現在、たくさんのサービスを使い、多くのアカウントやパスワードを持つようになっています。

　例えば、ECサイトだけでも、複数のサイトの会員になっている人が多いと思います。では、ECサイトAでパスワードが流出してしまったとき、ほかのECサイトBやCで何が起こるかというと、ECサイトAのアカウント情報で、BやCにもログインを試みる攻撃者が現れます。

——なるほど！　「面倒だから同じパスワードでいいや」と思ってパスワードを使いまわしていると、それで全部にログインできてしまうわけですね。

秋良さん：そうです。残念なことに現在は、日々どこかのサービスで情報流出が起きているような状況です。そんな中でパスワードを使いまわしている人は、1カ所から流出したパスワードで、流出していないほかのサービスのパスワードも破られてしまう。攻撃者からすれば大助かりというか、一石二鳥以上というか……。

　ユーザーからすれば、パスワードを使いまわすことで、1件の流出事件で複数のパスワードが破られることになり、とてつもなく大きな被害につながってしまいます。ということで、2つ目の大事なことは「使いまわさない」です。

——そうなると、3つ目は何でしょう？

秋良さん：今回の話では、意外な盲点になってしまっているかもしれません。答えは「変更」、つまり新しいパスワードに変更することです。

　仮に昨日パスワードが流出していたとしても、今日パスワードを変更したら、それ以前に流出していたパスワードは無効になります。

——確かに。そう考えると、パスワードを変更することは強力な対策になりますね。それなのに、なぜ今は「変えなくていい」になっているのでしょうか……？

「変える」ことが、簡単すぎるパスワードや使いまわしの原因に！

秋良さん：パスワードを変更することは、パスワードが破られることの対策として強力なので、かつては「定期的に変更しましょう」と呼び掛けられていたわけです。しかし、定期的な変更を求めると、簡単すぎるパスワードを設定したり、使いまわしたりする人が多くなることが分かってきました。

　先ほども述べたように、今は多くのパスワードを管理しないといけなくなっているのも、使いまわしが増える一因かもしれません。しかし、多くのパスワードを管理しなければならない状況で、使いまわすのが、まさに被害が拡大しやすい状況の大きな原因になっているわけです。

——私が使っているオンラインバンキングは今でも定期的なパスワード変更を求められますが、不意に「パスワードを変更してください」と言われると、どうしよう……と焦ります。あの気持ちを思い出すと、確かについ簡単な文字列にしたり、使いまわしたりしてしまうのも分かります。

秋良さん：こうした状況を踏まえて、重要度が組み替えられた結果が、「定期的な変更は必要ありません」という説明です。先ほどの3つの大切なことで言えば、以前は「変更」が最優先事項とされてきましたが、現在では「複雑さ」と「使いまわさない」がより重要になっています。

　なので、十分に複雑な文字列で、使い回さずにパスワードを管理したうえで、ときどき（定期的でなくても）変更できる人は、変更した方がいいです。

「セキュリティが弱いサービスと強いサービスで使いまわす」が最悪

——複雑にして、使い回さず、できれば変更するのがいい、ということは、よく分かりました。そのうえで、それを実行するのはなかなか大変ですね。

　例えば使いまわしを避ける方法として、一部の文字列は共通にして、サービスごとに固有の文字列を加えてパスワードを作る、といった方法も聞きます。そういう方法はどうなのでしょう？

秋良さん：もちろん理想を言えば、全て全く異なる文字列である方が、より安全性が高いでしょう。ですが、完全な使いまわしよりは、ずっといいと思います。

　少し投げやりな印象と取られるかもしれませんが、結局は、それぞれの人ができる範囲でしかやれないものですから。もしも、会社や学校などの所属組織でセキュリティのルールがあったら、それは守らなければいけませんが、そのうえで、自分で無理なくできるルールを作りましょう、というのが現実的なところになりますね。

　ただ、最悪のパターンとして、セキュリティが脆弱なサービスからパスワードが流出し、ユーザーが使いまわしていた場合、セキュリティが強力なはずの会社などのパスワードも破られてしまう、ということがあり得ます。

　こうしたことがあると、いくらセキュリティを強化しても、実質的には世の中で最も脆弱な水準のセキュリティしかないような状態になってしまうのですよね。

　なので、パスワードの使いまわしだけは避けたうえで、ある程度共通の文字列を使っている人でも、会社や、クレジットカードを預けるECサイトなど、特に重要なアカウントだけは異なる文字列にするとか、連鎖して破られないようにする対策を講じていただきたいと思います。

もしもパスワードを使いまわしていたら、セキュリティが弱いサービスから流出したパスワードで、セキュリティが強固なサービスにログインされてしまう

「絶対的な正解」が存在しないパスワードの管理方法

——パスワードの管理方法も難しいなと思います。何十件ものパスワードを暗記するのはもう無理だと思いますし、紙に書いておいていいものか、パスワード管理ソフトがいいのか……。

秋良さん：そうですね。「こうすれば絶対に大丈夫です」と言えるものはないんですよね。誰かが盗みに入ったりしない限りは、紙にメモして自宅に保存しておくのが、簡単かつ安全ではあります。

　あとは、パスワード管理ソフトを使うのもいいと思います。ただ、もちろんパスワード管理ソフトも絶対に安全だとは言えませんし、有名なソフトほど、攻撃にさらされるリスクが高いと考えられます。信頼できる開発元の製品を選び、情報を常にチェックしながら使うのがいいでしょうね。

　ちなみに、私は「あまり有名ではないパスワード管理ソフト」を使っています。

ゼロデイ攻撃も考慮すれば、できるだけ変更したい

ーーそのように考えていくと、パスワードの管理で「こうすれば完璧」という方法はなくて、自分ができる範囲はここまで、という考え方をするのがいいのかもしれないですね。と、いうことを踏まえて、あらためて、パスワード管理について、どういう方法がいいか教えてください。

秋良さん：まず、全ての方に必ず実践してほしいのが「使いまわさない」ことです。使いまわしは“絶対に”やめましょう。大事なことなので、あらためて2回言いました。

　そのうえで、できるだけ複雑な、破られにくいパスワードを設定してください。具体的には、いろいろな文字種を組み合わせることも重要ですが、できるだけ長く、文字数を多くした方が、解析の難度が上がると考えられます。

　サービスにより使える文字種や文字列の長さが決まっている場合もありますが、記号などを含めて文字種が多い8文字よりも、使う文字種は少なくても20文字ぐらいの方が、1文字ずつ総当たりで解析する場合の難度は上がります。

　この「使いまわさない」と「複雑なパスワード」は、すべての皆さんに実践していただきたいですね。

秋良さん：これに加えて、できる方は、ときどきパスワードを変更していただきたいです。定期的でなくてもいいですし、半年に1回でも1年に1回でも、可能な範囲で変更した方がいいですね。

　パスワードを定期的な変更はしなくていいとする場合でも、「パスワードが漏えいしたことが分かったら変更してください」と説明されます。しかし、昨今では、存在がまだ把握されていない脆弱性を突いた攻撃で、サービスの管理者が気付いていないけど攻撃を受けてしまっている「ゼロデイ攻撃」も多くなっているため、パスワードの漏えいが判明していない状態が、イコール問題なしとは言えなくなっているためです。

　特に情報漏えいのニュースなどがなくても、変更して、古いパスワードを無効にしてしまうのがベターですね。

　そのうえで、ウェブブラウザーに保存するのはインフォスティーラーに感染して窃取されてしまうリスクがあるので、かなり不便にはなりますが、保存しないで運用すると、よりよいです。

——なるほど……。そう考えていくと、きちんとパスワードを運用・管理するのは大変ですね。

秋良さん：最近では、パスワードの代わりに生体認証（顔認証、指紋認証など）や、認証用デバイスを利用した、「パスキー」と呼ばれる認証方法も広まっています。パスワードをがんばって運用するのでなく、パスキーに切り替える、似たサービスでパスキーを導入したサービスがあればそちらに乗り換える、ということも、認証の安全性を高めるには効果的ですね。

——ありがとうございました。