うっかり偽サイトでパスワードを入力してしまった、第三者にパスワードが窃取されて不正ログインやリスト攻撃に使用されてしまった、といった被害は適切なパスワード管理で防止することができます。
フィッシングやその他サイバー攻撃の被害に遭って損失を出さないために、パスワードの作成・管理に安全な方法をとることが必要です。本記事では、パスワードの安全な作成・管理方法の注意点をまとめました。
また、パスワード管理などの情報セキュリティ対策をどれだけ知っているかの理解度チェックテストを作成しました。ぜひお気軽に腕試ししてみてください。
パスワードの管理とは
パスワードは、企業や組織内の情報資産へのアクセスの可否を決める重要な情報です。各種のITシステムやサービス、ソフトウェアやアプリケーションにも、パスワードを利用した認証の仕組みは一般的によく取り入れられています。
アカウントID(ログインID)やメールアドレスと組み合わせて利用される形が多いため、ID/メールアドレスとパスワードの両方が第三者に知られてしまうと不正アクセスにつながります。ID/メールアドレスは他人も容易に知りえる情報であるため、第三者からアカウントを不正利用されないためには、パスワードを推測されにくいものに設定し、他人の目に触れないよう管理することが大切です。
総務省や情報処理推進機構(IPA)でも適切なパスワード管理の方法を紹介していますので、一度覗いてみてください。
安全なパスワードの作成
安全なパスワードの作成について説明する前に、「危険なパスワード」についてご説明しましょう。当たり前ですが、安全なパスワードの作り方の第1歩は、危険なパスワードを反面教師として避けることです。
危険なパスワードとは
- 使い回しのパスワード(後ほど詳しく危険性を解説します)
- 容易に推測されるパスワード
- 短すぎるパスワード
- 個人情報を含む(自分の名前・誕生日)パスワード
これらが危険なパスワードの代表です。総当たり攻撃ですぐに破られてしまうことや、推測されて悪用されることが懸念されます。また、サービスごとにパスワードは変えておく必要があります。もし変えておかなければ、一つのパスワードで金融機関なども含めたご自身が使ったサービス全体の情報が、クッキー情報等を辿って悪用されてしまい一気に被害が拡大することになります。
安全なパスワードを作る手順
危険なパスワードを避けて、安全なパスワードを利用するには、パスワードの組み合わせを工夫することが推奨されます。
一例としては、「サービスを示す識別子」+「コアパスワード」+「番号・記号の組み合わせ」です。
サービスの名称・サービスのURLの頭文字等から作る略称(例:Lms)+ご自身の好きなキャラクター(例:Moomin)+ランダムな数字3桁と記号(例:681!)とするだけでも、パスワードの桁数は、12桁となります。
キャラクター名は推測されやすいですから、MoominをMOOminとする、あるいはM00miNとするなど、大文字小文字・数字の組み合わせを使い、複雑にすることがおすすめです。
パスワードの適切な保管
パスワードの作成後、重要となるのが保管・管理です。安全なパスワードを作成しても、他人に知られてしまっては意味がありません。パスワードを管理するには、他人に知られないように、かつ自分でも忘れないような方法をとることが大事です。
もし、WordファイルやExcelファイルなどでパスワードを管理する必要がある場合は、そのファイル自体にもパスワードをかけることが重要です。
データに記録する場合は、記録されたパスワードへのアクセスを制限するための対策を忘れないようにしましょう。電子メールやチャットによるパスワードのやり取りは、情報の流出につながりえるため避けます。 近年問題視されているPPAPももちろんご法度です。
管理しているパスワードを使用する際の注意事項
管理しているパスワードを実際に使用する時には、いくつかの注意事項があります。一つずつポイントを確認していきましょう。
パスワードを使用するWebサイトの正当性を確認
Webサイトでパスワードの入力が促されているとき、Webサイトが正当なものかどうかは確認の必要なポイントの一つです。
いわゆるフィッシングと呼ばれるサイバー犯罪の手口では、巧妙に偽のサイトに誘い込み、偽のフォームにIDとパスワードを入力させます。入力された情報はそのまま不正ログインに使用されるか、ダークウェブで売買されます。
例えば、本物のネット銀行の見た目に良く似せてある不正なWebサイトにアクセスしている状態で、そのネット銀行のパスワードを入力してしまうと、そのパスワードが盗まれることがあります。
メールやショートメール、SNSなどのリンクからWebサイトに誘導していることが多く、注意が必要です。
偽サイトの見分け方は複数存在しますが、代表的なチェックポイントには下記が挙げられます。
- URLのドメインは正しいものか
- 過去に利用したなど身に覚えのあるWebサイト、サービスか
- Webサイトの日本語に不自然な点はないか
- 不必要にパスワードや個人情報の入力を促す内容でないか
- URLはWeb上で注意喚起がなされているものではないか
- https(SSL認証)は利用されているか
日ごろからこれらのチェック事項を使って、疑わしいサイトではないか確認しましょう。
こうしたポイントは、標的型攻撃メールを見破るポイントと共通点が多く、一緒に対策することが可能です。標的型攻撃メールのサンプル・事例から見破り方を知れる資料を無料で配布していますので、目を通しておいてください。
パスワードの窃取に注意
パスワードはサイバー犯罪者がつねづね様々な方法で狙っており、窃取されないよう気をつける必要があります。
人前や外出先などでパスワードを入力する際には、周囲や背後から第三者が覗き見していないかどうか確認しましょう。このような覗き見は「ショルダーハッキング」と呼ばれています。テレワークなどで外でパソコンやスマホを利用する機会が増えている場合には、注意が必要です。
またメールや電話などで知らない人から連絡が来て、パスワードの入力を促されたり、パスワードを伝えたりするように要求されたときは要注意です。基本的にメールや電話でパスワードを要求されることはありえないと思っていて構いません。
電話でパスワードを聞き出す手口はソーシャルエンジニアリングの一種で古くから存在するものです。管理者を装った電話などは疑ってみる必要があります。
メールからWebサイトに誘導し、パスワードの入力を促す攻撃はフィッシングと呼ばれる手法です。フィッシング対策協議会の緊急情報などの注意喚起をチェックし、フィッシング対策を行いましょう。
最近では、IDとパスワードを保存してWebサイトにアクセスすると、自動的に入力されている状態になるパスワードマネージャ―などのブラウザの機能、ツールなどもありますが、できる限りそのような機能は使わない方が好ましいです。多少面倒でも、IDとパスワードはブラウザには保存せず、毎回手動で入力する方が安全です。パソコンやスマートフォンを紛失した場合や盗難に遭った場合に被害が広がる要因ともなり得ます。
パソコンやスマートフォンには不要なソフトウェア、アプリをインストールしないように注意することも重要です。インターネット上から入手したソフトウェアには、キー入力を外部に送信するキーロガーと呼ばれる悪意のあるソフトウェアを混入しているケースもあります。 ネットカフェなどのデバイスに仕込まれていることも少なくありません。
パスワードの使いまわしは厳禁
安全なパスワードを作ろうとした場合は、覚えにくく複雑なパスワードになりがちです。しかし、だからといって、同じパスワードを使い回すのは厳禁です。
サイバー攻撃の中には「パスワードリスト攻撃」と呼ばれるものがあります。これは何らかのWebサービスやアプリケーションから流出したアカウント情報を使って、別のWebサービスやアプリケーションへの不正ログインを試みる手法です。
例えば、Aというサービスのアカウントのパスワードが流出して攻撃者に知られてしまい、その攻撃者が流出したパスワードを使って、Bというサービスのアカウントの不正ログインを試みたとしましょう。この時、ユーザがAとBで同じパスワードを使いまわしていると、サービスBの不正ログインが成功してしまいます。
このようなパスワードリスト攻撃による被害は実際に発生しています。アカウントの不正ログインを防ぐためにも、同じパスワードの使いまわしは絶対に避けましょう。
パスワードの流出は、利用者が窃取される場合とWebサービスやアプリケーションの運営者が情報を流出させてしまう場合がありえます。そして、パスワードリスト攻撃はこのいずれに対しても利用される可能性があります。たとえ個人がパスワードの流出に気を付けていても、他の理由でパスワードが漏れる可能性は防げません。その場合にパスワードを使いまわしていなければ、さらなる被害を防ぐことが可能です。
パスワード管理が不要なワンタイムパスワードの採用も増えている
従来のIDとパスワードの組み合わせではなく、ワンタイムパスワードと呼ばれる使い捨てのパスワードを利用した認証を採用するWebサービスも増えてきました。ワンタイムパスワードとは一定時間ごとに変更されるパスワードのことです。
名前の通り一度利用した後はそのワンタイムパスワードは破棄され、次に利用する際には新たにワンタイムパスワードを発行します。パスワードを都度作成するため流出を防げる仕組みです。
このワンタイムパスワードはネット銀行などでよく採用されています。ユーザは予め入手してある、スマートフォンアプリやトークンと呼ばれる専用の機器を使って、必要なときに都度パスワードを生成して入力します。
また認証が必要なWebサービスのログイン時に、予め登録してあるメールアドレスや電話番号のSMS宛に、第二のパスワードを送信して、パスワードを二重化しているWebサービスもあります。
ワンタイムパスワードやパスワードの二重化は、ユーザの利便性を若干損ないますが、セキュリティ対策上では、従来のIDとパスワードのみでのログインよりは堅牢です。特にネット銀行などお金を扱うような重要なWebサービスにおいては、面倒くさがらずに積極的に活用すべき機能と言えるでしょう。
パスワード管理の負担を軽減する二重認証の導入
二段階認証、あるいは複数の要素を使った二要素認証などの複数認証を導入すると、さらに安全性が高まり、管理の負担も軽減することができます。
すなわち、ワンタイムパスワードやパスワードの二重化などの安全管理策に加え、生体認証やカード認証を組み合わせてセキュリティ性能を高めることが可能です。 生体認証やカード認証なら、パスワードの管理も発生しません。
生体認証は人間の指紋や網膜、虹彩、顔などの身体的な特徴などを利用した認証技術であり、身体的特徴には同じものが存在しない点を利用しています。現在は、スマートフォンやパソコンにも指紋認証用のセンサーがあるものや、付属のカメラを利用して顔を認識する顔認証などが数多く見られます。
また、ICチップを埋め込んだカードやタグでの認証、電話番号やコンピュータの機器固有の番号を利用した認証などをパスワードと組み合わせて利用することでもセキュリティ性能を高めることができます。
生体認証やカード認証には導入のためのコストがかかります。しかし、パスワードによる管理であっても、導入・運用・管理にかかるコスト・リソース、不正アクセスを許してしまった場合の損失などは、かなり大きな工数・費用になります。パスワードの依存度を低くし、できるだけ使わないようにすることにより、回収可能な費用と考えるのが合理的といえます。二段階・二要素認証や生態認証の利用も現実的な方法かと思われます。
まとめ
パスワードを悪用した攻撃に対抗するには、パスワードを安全に作成・管理すること、またパスワードを使わない認証方法を利用することです。
フィッシングによる被害が後を絶たない中、パスワードによる認証は見直すことがおすすめです。しかし、パスワードを全くなくすことも現状で現実的ではない以上、安全に作成・管理するようにしましょう。