パスワードの安全性と・強度について不安に思うことはありませんか?
設定しているパスワードの安全性・強度は高いのか気になっている人は多いと思います。
クレジットカードを取り扱うWebサイトにカード情報を登録している場合、もしパスワードを破られてしまえば金銭的な被害を受けることになります。
そのような被害に遭わないために、この記事ではパスワードの安全性・強度をチェックしてくれるツール、パスワードの作成方法や変更時の注意点について解説します。
かんたんなパスワードが危険な理由とは?
ちょっと前まではパスワードといえば銀行口座の4ケタくらいでしたが、最近はSNS、クラウド、クレジットカード、ネットバンキングなど…スマホやパソコン、さまざまなサービスでパスワードやIDが必要になりました。
これらのサービスには絶対に漏れてはいけない重要なものと、特に重要でないサービスのものとがあります。重要度がちがうのに同じパスワードを使いまわしていると、思わぬ情報漏えい被害につながることがあります。
過去には、パスワードの強度が低かったためにこんな不正ログインが実際に起きています。
| 企業 | 発生日 | 内容 |
|---|---|---|
| 佐川急便 | 2014年9月 | Webトータルサポートにおいて、約3万4000アカウントへの不正ログインを確認。会員情報が閲覧された可能性。 |
| JR東日本 | 2014年8月 | 短い期間に約30万件の大量アクセスを受け、756アカウントへの不正ログインが判明。会員情報を閲覧されていた可能性がある。同年3月にも大量のアクセスがあり、約92万件のログイン失敗があったことが判明している。 |
| LINE | 2014年6月ごろ | 不正ログインによるアカウントの乗っ取り被害が続出。ユーザーになりすまし、友人に電子マネーの購入を促して金銭を搾取するという手口で、実際にだまし取られる被害も出た。被害額は約2800万円(2014年10月警視庁発表) |
| パナソニック | 2014年4月 | CLUB Panasonicの約7万8000件のアカウントに不正ログインされ、個人情報を閲覧された可能性があることが判明。 |
| ソフトバンクモバイル | 2014年2月 | My Softbankで344件のアカウントに不正ログインされたことを確認。個人情報を閲覧された可能性がある。 |
つい最近も、女性タレントがブログのパスワードを「自分のニックネーム+生年月日」にしていたところ、不正ログインされてしまい情報を見られたという被害が起きています。
もしこれが、住所や銀行口座の情報が登録されているアカウントだったら…いちど漏れてしまうと、お金も絡む大きな損害になってしまいます。
「安全なパスワード」の作り方と管理の方法を知ることは、ハッキングから身を守るためにとても重要です。
パスワードの安全性・強度をチェックできるツール
作成したパスワードは、その安全性・強度を利用前にチェックしておきましょう。パスワードの安全性・強度チェックをしてくれる便利なツールがあります。いくつか種類がありますが、ここではマイクロソフト、カスペルスキー、インテルのチェックツールをご紹介します。
マイクロソフトのチェックツール
安全で強度なパスワード作成のアドバイスと、チェックを行ってくれるツールです。「弱い」「普通」「強い」「とても強い」の4段階から判定してくれます。
カスペルスキーのチェックツール
ロシアのセキュリティソフト会社、カスペルスキー社のパスワードチェックルーツです。安全性と強度を10段階で評価してくれるツールです。また、何年かからなければ解読されることはないと、年数(世紀)を示してくれます。
インテルのチェックツール
インテル社のパスワードチェックツールです。入力したパスワードはインテル側に渡されません。しかし、実際に使っている本物のパスワードを入れないようにしてください。英文で注意書きがあります。
こんなパスワードはNG!
サイバー攻撃では、瞬時にパスワードを解読するツールが使われます。その精度は私たちの想像以上に高く、何億通りもの文字の組み合わせを片っぱしからためす攻撃(ブルートフォースアタック)などから守る必要があります。
そのため、次のようなパスワードは破られる危険があります。重要なサービスのパスワードでは、特に使わないようにしてください。
- 6文字以下である(短い)
- 個人情報が含まれている
- 連続またはくり返しの文字
- 同じパスワードの使い回し
- 辞典に載っている単語のみのパスワード(辞書攻撃)
- 有名なキャラクターや芸能人の名前
- ユーザー名(ログインID)とパスワードが同じ
6文字以下である(短い)
短いパスワードは、総当たり攻撃(ブルートフォースアタック)に突破される可能性が高くなります。文字数を1つ増やすだけで、ハッキングされる可能性を大きく減らせます。特に重要なサービスは、12文字以上にしたほうが良いでしょう。
個人情報が含まれている
個人が特定された場合に危険です。
連続またはくり返しの文字
簡単な文字列は、総当たり攻撃によって突破される危険が高いです。
このようなパスワードを使用する人がいまだに多いのは、「複雑だと忘れてしまう」ためでしょう。しかしこのようなパスワードを設定することは、情報をほぼ丸裸で攻撃者に渡していることと同じくらい危険です。
パスワード管理サービスを提供する米SplashDataが、インターネットで多用されている「最悪なパスワード」2018年版ランキングを発表しています。
同じパスワードの使い回し
最近の不正ログイン被害は、ほぼこれが原因です。1つのパスワードを見破られると、芋づる式に他のパスワードもバレてしまいます。
ほかのWEBサイトで使用されたパスワードリストを入手した攻撃者は、そのパスワードを使用して別のWEBサービスへ不正ログインをおこないます。同じパスワードを流用していると、つぎつぎに複数のサービスで攻撃される危険があるのです。
すると、登録されている氏名や住所、電話番号、職場などの個人情報まですべて見られてしまいます。
どれほど複雑なパスワードであっても、一度破られれば意味がありません。面倒だからといって、同じものを使い回すのはたいへん危険です。
辞典に載っている単語のみのパスワード(辞書攻撃)
また「IlikeAppleGrape」のようなパスワードは15文字あるので、ブルートフォースアタックは防げるかもしれません。しかし、辞書にあるような安易な単語の組み合わせなので、辞書攻撃では見破られる恐れがあります。
有名なキャラクターや芸能人の名前
有名なキャラクターや芸能人も総当たり攻撃の対象になる可能性が高いので避けましょう。
ユーザー名(ログインID)とパスワードが同じ
こちらは論外ですが、ユーザー名(ログインID)とパスワードは別のものに設定しましょう。
安全なパスワードを作成するポイント
安全なパスワードを作成するポイントは次の通りです。
- 推測しにくい文字列にする
- 数字や記号、大文字などを混ぜる
- 最低8文字以上にする
- パスワードを使いまわさない
①は辞書攻撃(辞書や人名リストに載っている単語を自動処理で片っ端から入力し試す方法)への対策。
②、③は総当たり攻撃(ブルートフォースアタック:考えられるすべてのパターンを試す方法)に対しての対策です。文字数を1つ増やすだけで、ハッキングされる可能性を大きく減らせます。特に重要なサービスは、12文字以上にしたほうが良いでしょう。
④は、近年急増しているパスワードリスト攻撃を防止するための対策です。
強力なパスワードの作り方
絶対に漏れてはいけないサービスのパスワードにおすすめです。
1.1~2つの文を考え、英語またはローマ字表記に変換する
例:Tomorrow want to go to sea. (明日は海に行きたい)
英語が苦手な方など、翻訳機能(https://translate.google.co.jp/)を使えば日本語をすぐ英語に変換できます。
2.スペースを消し、単語を短縮orつづりをわざと間違えたものにする
例 Tomorawantogtse.
または、頭文字をとる
例 twtgts
3.どこかに数字を追加して、完成
例 tomorawantogtse. 0217
5561twtgts
いっそ覚えることを諦めて、何の意味を持たない文字列でパスワードをつくる
この方法なら安全度は高くなります。意味のない文字列を記憶するのは難しいので、運用・管理の方法を工夫しましょう。
パスワード作成ツールを使う
専用のツールを使えば、複雑なパスワードをすぐに作れます。WEBサービスや管理アプリの付属機能で作成できます。強度や文字数の設定もできます。
このようなツールを利用すれば、同じパスワードを使い回す悪循環から抜け出せるでしょう。
パスワードの定期変更・「秘密の質問」に注意!
かんたんな定期変更が無意味な理由
アメリカの科学研究機関NISTのコンピューターセキュリティ部門「CSD」は、「パスワードの定期変更をすべきでない」と、2016年に発行した文書「800-63B」で明記しています。
その理由は、ユーザーがパスワードを定期的に変える際、「数字を1つ追加するだけ」などの予測しやすい変更をする場合が多いことであると考えられます。
対策方法は?
推測されにくい数字や単語を追加する(親戚の誕生日、趣味に関する単語など)
「秘密の質問」の設定にも注意
秘密の質問とは「初めて飼った動物の名前は?」など、パスワードを忘れたときのために質問の答えを設定しておき、答えが合致すると仮パスワードなどを発行できるシステムです。この「秘密の質問」は便利なので設定できるサービスは多いです。
しかし覚えやすいようにかんたんな答えを設定している人が多く、第三者に破られる危険があります。
最近はSNSで自分の情報を公開している人も多く、答えを推測される恐れがあります。“秘密の質問の安全性は低い”ことについて、IPAやGoogleも発表しています。
対策方法は?
答え+自分にしかわからない言葉を追加する
複雑なパスワードでも、こんなところから漏れる危険!
複雑なパスワードを設定しても、次のような行動で他人に知られないよう注意しなければなりません。
- ふせんにパスワードを書いてパソコンなどに貼らない
- パスワードのメモを机上に置いてその場を離れない
- 会話のなかで人に教えない
- パスワードを打つ手元やディスプレイの盗み見(ショルダーハッキング)
- 小型隠しカメラの設置(キーボードが映るよう天井に設置するなど)
- 社員や取引先なりすまし、電話で聞き出す
- ゴミ箱の物色(スキャベンジング)
対策方法
- 手元にカバーをかけて入力する
- 指紋や生体認証つきのパソコンにする
- 電話でパスワードを聞かれても教えない
- メモや書類はシュレッダーしてから捨てる
不正利用ログインされないよう見直してほしいこと
あなたはすべてのパスワードを管理できているでしょうか? できていないと感じている人は、次の方法で見直してみてください。
- パスワードを洗い出す
- サービスのランクでパスワードを使い分ける
パスワードを洗い出す
まず最初にすべきなのは、利用しているパスワードの洗い出しです。日常的に使っているWEBサービスはすぐリストアップできても、利用頻度の低いサービスや、一度利用して放置しているものは、そう思い出せないのではないでしょうか。
しかし簡単なパスワードのまま放置してしまうと、不正ログインされても気づけず、被害の広がる恐れがあります。登録時の連絡メールや記憶をたどって、すべてリストアップしてみましょう。
また、利用しないサービスは退会・解約しておくことをおすすめします。
サービスのランクでパスワードを使い分ける
「パスワードの使いまわしは危険」といわれても、たくさんのサービスでパスワードが必要な今、すべてのサービスで違うパスワードにすることは難しいです。そこで、サービスの重要度によってパスワードを決める方法があります。
そのサービスの重要度によって、設定するパスワードの複雑さを変えると、覚えやすくなります。
ランク付けの例
Aランク(重要度の高いサービス)
個人情報(住所)の登録がある、金銭に直結する(クレジットカードや銀行)、ポイントのやり取りをするサービスなど不正ログインされると、金銭的な被害にあう危険があります。
「より強力なパスワードの作り方」を参考に、10文字以上の複雑なパスワードを設定します。
Bランク(重要度中くらいのサービス)
SNS、ブログ、メールなど不正ログインされると、なりすましにより不正利用される危険があります。パスワードの使いまわしは避けます。
Cランク(重要度の低いサービス)
個人情報などを含まないサービス(メールマガジン、無料会員サイトなど)情報が漏れたときのリスクは低いので、文字数の少ないパスワードの設定や、多少の使いまわしはOKとします。
最後に・・・
今の時代、パスワードしっかり設定することは、サイバー攻撃や犯罪の被害にあわないためにかならずおこなわなければならないセキュリティです。
簡易なパスワードはすぐに破られてしまい不正ログインの被害に遭う可能性が高くなります。また、金銭的な被害を受けるかもしれません。
もし、簡易的なパスワードをお使いでしたら、見直してみてください。
