「同じパスワード」は被害を呼ぶ、パスワード設定・管理のツボ

　各種ウェブサービスのパスワード、同じものにしていたり、「ハッキングされやすいパスワード」になっていたりしませんか？

　例えば、「123456」や「asdfghj」「Passw0rd」、名前を元にした「SaT0」などのようなパスワードも「ハッキングされやすいパスワード」です。「覚えにくいから」と安易なものにしてはいけないのです。

　本記事では、不正ログインの被害に遭わないために、大切なIDとパスワードを適切に管理するポイントを紹介していきます。

　IDやパスワードの設定・甘さにつけ込んだ犯罪は年々増加しています。警察庁が3月に公開した情報によると、不正アクセス禁止法違反の検挙件数は2015年から2019年で2倍以上（816件）、インターネットバンキングの不正送金被害も2018年から2019年で6倍弱（1872件）に激増、被害金額は25億2100万円にも及ぶことが分かりました。

　インターネットバンキングやネットショッピングだけでなく、SNSやクラウドストレージなどでも「自分をかたって他人をだます踏み台にされる」「大事なデータを盗まれる」など、さまざまな被害が考えられます。

　個人でも、パスワードをしっかり管理しないと、大きな被害を被ってしまう可能性があるのです。

【今回のポイント】

名前を元にした「“SaT0”」などのパスワードが安全と思っていませんか？

重要なのは12文字以上で「大小英字＋数字＋記号」を組み合わせること

使い回しは「アカウントリスト攻撃」の標的に

記事提供者よりひとこと

パスワード流出の危険性を把握し、対策を講じることが重要です。弊社では「任せておけば安全・安心」をコンセプトに提供するセキュリティ製品「常時安全セキュリティ24」をはじめ、パスワード管理ツール「@niftyパスワードマネージャー」などを用意していますので、ぜひ活用をご検討いただければと思います。

【インタビュー】「任せて安心、と思って欲しい」@niftyが語る、コロナ時代のプロバイダ

「パスワードは“SaT0”なら安全」ではない！安易なパスワードは「辞書攻撃」「逆総当たり攻撃」で突破されてしまう

　普段、どんなパスワードを使っているでしょうか？　複数のウェブサービスで利用するため、覚えやすい文字列を設定していることが多いのではないでしょうか。

　さまざまな団体が「よく使われるパスワード」の統計情報を公開していますが、そうした中でよく出てくるのが「123456」や「123456789」、「asdfghjk」（これはキーボードの「A」キーから右側に並んだ文字列です）、「iloveyou」といったものになります。

ありがちなパスワードの例

　さらには、「password」「excite」「sakura」「welcome」「woaini」（英語に直すと「I love you」）も「ありがち」なようですし、名前や苗字をそのままパスワードとして使っていることもあるようです。

　こうした情報は犯罪者も知っており、不正ログインを行う際、「ありがちなパスワード一覧」データを使ってプログラムで自動攻撃しています。パスワードに使われそうな文字列を集めた「辞書」を作ってしまえば、後はメールアドレスごとに自動的にログインを試していくのです。この手法を「辞書攻撃」と呼びます。

　辞書には、よくあるパスワードを変形させた文字列も載っています。先頭を大文字にして「Password」にしたり、「O（オー）」を「0（ゼロ）」にした「passw0rd」といったものも登録されています。少し変化させたくらいでは、突破されてしまう可能性が高まります。さきほどの例と組み合わせると「SaT0」や「SuZuK1」なども危険だということが分かるでしょう。

　他には、「総当たり攻撃」という手法もあります。考えられるパスワードを片っ端から試すという力業です。いつか必ず正解に辿り着きますが、ウェブサービスの場合、そんな怪しい挙動をしているアクセス元をブロックしてしまえばいいだけです。一般的なウェブサービスでは、パスワードの入力を一定回数以上間違えるとログインできなくなります。

　そこで利用されるのが「逆総当たり攻撃」です。設定されがちな1つのパスワードを使い、複数のメールアドレスに対して不正ログインを仕掛ける手法です。これだと、アクセス試行をブロックされる可能性は低くなります。サイバー犯罪者はこうした複数の攻撃を組み合わせることで、効率的に不正ログインを行うのです。

重要なのは「12文字以上」「大小英字＋数字＋記号を組み合わせること」推測されやすい安易な文字列も避ける！

　パスワードさえ適切に管理できていれば、不正ログインされるリスクを回避しやすくなります。また、サイバー犯罪者に突破されにくいパスワードを設定することがセキュリティの基本となります。

　総務省が公開している「国民のための状況セキュリティサイト」に掲載されている安全なパスワード管理方法として、名前などの個人情報から推測できず、一般的な単語をそのまま利用しないよう注意を呼び掛けています。

総務省が公開している「国民のための状況セキュリティサイト」より

　また、セキュリティインシデントに関する報告の受付や対応支援を行っているJPCERTコーディネーションセンター（JPCERT/CC）は、2019年に「STOP! パスワード使い回し!キャンペーン」を打ち出しています。そこで紹介された安全なパスワードの条件として、以下の4つが挙げられました。

　大小英字と数字、記号を組み合わせて、12文字以上にするように勧めています。利用する文字種とパスワードの文字数はそのまま、パスワードの強度に繋がります。例えば、パスワードを数字のみの6文字に設定した場合は100万通りですが、英数字だと21億7678万2336通りの組み合わせになります。

　内閣サイバーセキュリティセンター（NISC）が公開している「インターネットの安全・安心ハンドブック」では、少な目の10文字以上を推奨していますが、それでも覚えるのは至難の業です。ちなみに、10文字でも約2785京97兆6009億通りの組み合わせがあります。

　パスワードを覚えやすくするためには、ペットや誕生日などの文字や数字を絡ませたくなりますが、突破されやすくなるので避けなければいけません。PCのディスプレイにパスワードを書いた付箋紙を貼る人もいますが、オフィスなど第三者の目に触れる場所ではNGです。

　そうなれば、1つのパスワードを使い回したくなることでしょう。しかし、これがもっともリスクのある行為なのです。

「同じパスワードを使っとく」は被害を呼びよせるようなもの流出したパスワードは、他のサービスで試される……

　パスワードを強固に設定していても、企業側からアカウント情報が流出することがあります。

　過去に何度も大規模な漏えい事件が起きており、何億件ものアカウント情報がインターネット上に出回っています。そのリストを手にしたサイバー犯罪者が、IDとパスワードの組み合わせを使ってさまざまなウェブサービスにログインしようとするのです。この手法のことを、「アカウントリスト攻撃」と呼びます。

　例えば、Aという企業からアカウント情報が漏えいしたとします。パスワードを使い回している人の場合は、サイバー犯罪者はその組み合わせで他のサービスにもログインできてしまいます。また、メールサービスやSNS、ショッピングサイトなどに不正ログインして、アカウントを悪用することができるのです。

　自分のアカウント情報が漏えいしているかどうかは、「Have I Been Pwned」というウェブサービスで確認できます。ここでは、現時点で453種類のウェブサイトから漏えいした97億件以上のアカウント情報を元に、ユーザーのメールアドレスを入力することで、どこからどんな情報が漏えいしたのかを確認できるのです。

メールアドレスを入力してアカウント情報が漏えいしていないか確認できるウェブサービス「Have I Been Pwned」

　試しに、筆者が長年使っているメールアドレスを入力してみたところ、9つのウェブサイトから漏えいしていることが分かりました。該当サービスのパスワードは変更しているので、不正アクセスの被害には遭っていません。

　筆者は、パスワードをサービスごとに変えているので、1つの企業が流出してしまった場合でも、「他のサービスのパスワードを急いで変える」といった事も必要ありませんでした。

「覚えられない」なら専用サービスで管理する手も複数のパスワードをまとめて管理、自動入力やデバイス間の共有も可能に

　10文字以上で複雑な文字列に設定したパスワードを覚えるのは困難です。複数のウェブサービスのパスワードとなればなおさらです。もちろん、メモしてPCのディスプレイに貼ることもNGです。そこで活躍するのが、パスワード管理ツールです。

　例えば、＠niftyが提供している「@niftyパスワードマネージャー」なら大量のアカウント情報を一元管理でき、デバイス間での同期も自動、そしてどこかの企業が漏えいさせてしまった場合、それを検出できるモニタリング機能も備えています。

【@niftyパスワードマネージャー】

「@niftyパスワードマネージャー」。パスワードの管理機能や個人情報の流出監視・警告機能を備える

　さらに、「オートフィル」機能を有効にすれば、必要な時にパスワードが自動入力され、便利に使えます。ユーザーが覚えるのは、@niftyパスワードマネージャーのマスターパスワードだけ。それで、全てのウェブサービスのIDとパスワードを管理できるというわけです。

　複数デバイス間でのパスワード共有は、「PCで登録したパスワードをスマートフォンでも自動入力できる」というもので、端末を買い替えてもアカウント情報を登録し直す必要はありません。

　また、漏えいのモニタリング機能は、「登録したメールアドレスに関連付けられた、パスワード情報、クレジットカード番号、個人情報などが漏えいしているかどうか確認できる」というもの。漏えいしていることを知らずに、リスクのあるパスワードを使い続けてしまうといった状況を避けられます。

パスワードの使いまわしを止め、強固なパスワードを使っていこう

　不正ログインの被害を避けるためには、まずパスワードの使い回しを止めること。次に、複雑な文字列を使った強固なパスワードを設定することが重要です。

　そして、多数のアカウント情報を管理するなら、@niftyパスワードマネージャーのような専用サービスを使うと安心ですし、便利です。自分のアカウントは自分で守り、不正アクセスの被害に遭わないようにしましょう。

【インタビュー】「任せて安心、と思って欲しい」 @niftyが語る、コロナ時代のプロバイダ

　「自分で安全を守る」意識はとても大切ですが、刻々と変化、高度化するネットの脅威に対し、知識と情報を高めていくのは大変です。大手インターネットプロバイダーの「@nifty」では、「任せておけば安全・安心」を掲げ、プロバイダーならではのセキュリティサービスを実施しています。その思いや、サービスの概要についてインタビューしましたので、是非ご覧ください。