目指せ!時事問題マスター

1からわかる!サイバーセキュリティー(3)そのパスワード 漏れているかも?

2023年04月27日
(聞き手:梶原龍 徳山夏音 西條千春)

  • お問い合わせ

サイトで会員登録をする際「いつものパスワードでいいか」ってなっていませんか?
その使い回しているパスワード、漏れているおそれがあるかもしれません。
わたしたち自身が行うべき対策について、NHKの解説委員が1から答えます。

パスワードはたくさん流出している!?

学生
梶原

アカウントが乗っ取られたという話をよく聞きます。

IDやパスワードが流出し、誰かに不正利用されてしまうケースが多いです。

解説委員
三輪さん

今ネットサービスがたくさんあるので、どこに登録したのか個別に覚えていられる状態じゃなくなり、IDとパスワードをどうしても共通のものにしがちなんですよね。

教えてくれるのは、三輪誠司解説委員。ITやサイバーセキュリティーが専門。警察取材に奔走した若手記者時代に、ハイテク犯罪への関心を高める。文系出身ながら独学でプログラミングのスキルも習得。

この「使い回し」が不正にログインされる主な原因です。

加えて簡単なパスワードを使ってしまう人がいます。

これを見てください。情報セキュリティー企業がまとめた日本人のパスワードランキングです。

日本人のパスワードランキング2021(ソリトンシステムズの資料より)

「123456」とか「000000」とか、いろんなサイトで使うので覚えようと思うから、簡単なものになりがちなのが実態です。

学生
徳山

わかりにくそうな文字列もありますが…

「1qaz2wsx」とかですよね。これだったらばれないと思うかも知れませんが、これ実はキーボードの並びになっているんです。

キーボードの配列を見ると…

なるほど!!

そもそもなぜこの企業はランキングがわかるのかというと、実際に使われているパスワードがIDと一緒にネット上に流出しているからなんです。

だから1つサイトから流出すると、同じパスワードを使っている別のサイトにも不正にアクセスされることになり芋づる式に被害が拡大します。

このことをまず、知っておいてほしいです。

パスワードは覚えない!

学生
西條

パスワードを覚えるのって、とても面倒くさいです。どうしたらいいですか?

もう覚えるのはやめましょう。

覚えるのは無理なので記録しましょう。

どうやって記録するんですか?

私はパスワード管理ソフトを利用しています。パソコン用もスマホ用もあります。

ID、パスワード、使うサービスのURL、これをセットで記録できます。

それが漏れる心配はないんですか?

絶対にないとは言えませんが暗号化して保存できるし、ウイルス対策ソフトにも標準機能としてついているものもあるので、暗記して使いまわすよりはリスクが少ないです。

すでにパスワードを使い回してしまっている場合はどうしたらいいですか?

地道にパスワードを変更したほうがいいです。

流出しているかどうか確認できるサイトもありますので活用するのも手です。研究者が作成して無料で公開しているものです。

私のメールアドレスを入力すると、「漏れてます」って出ましたね。

三輪さんのメールアドレスを入力すると…(※一部加工しています)

どうやら自動車保険の会社からメールアドレスと車種などの情報が流出したようです。

このように漏れているのがわかったらすぐに変えた方がいいですね。

パスワードは20桁以上が推奨

どんなパスワードがいいんでしょうか?

最近の研究では、文字の種類の多さよりも長さが大事で、長ければ長いほどパスワードを破るのに必要な計算が難しいといわれています。

何文字ぐらいですか?

20桁以上を推奨している研究者もいます。

ただパスワード管理ソフトを使えばコピペするだけで入力できるので、30桁でも100桁でも設定することができます。

ブラウザーによっては、一度入力したパスワードを自動入力してくれる機能があり、使っているのですが、危険ですか?

正直、あまりよくないです。多くの金融機関ではブラウザーにパスワードを保存して自動入力する機能の利用は推奨していません。

自動入力にしてしまうと、本来、そこではパスワードを手入力するという作業の「ハードル」がなくなるので、なりすまされてログインをされてしまうと、五月雨式に、不正ログインを許すことになりかねないからです。

手入力は正直面倒くさいことですが、セキュリティーと利便性は表裏一体

ここ数年、情報セキュリティー業界で流行している発想に「ゼロトラスト」というものがあります。

「ゼロトラスト」のイメージ

何も信じるなってことですか?

そうです。他人を信用しないとか、他のシステムを信用しすぎないというイメージで、それぞれできる個々の対策をし続けようという発想です。

セキュリティー装置という関所を1つだけ設置するのではなくて、その先にも、関所を設置しておく。この考え方は知ってほしいですね。

偽メールは避けられない

スマホに不審なメールがよく届きますが、これもメールアドレスが漏れているからですか?

攻撃者側も最初はデタラメに送っています。

その中で、アドレスが存在せずに届かないものを除いていくと「使えるメールアドレスリスト」ができ上がり、悪用されているといえます。

メールアドレスを自ら公開していなくても、そのアドレスでショッピングサイトに登録していると、そこから流出するおそれもあります。

三輪さんにも不審なメールは届きますか?

たくさん届きます。

職業柄、偽のメールを保存していますが、一日に何通も届きます。中身をみてみると、みんなほぼ同じ文面なんです。

三輪さんに届いた偽メール(※一部加工しています)

メールの中のリンクを押すと偽のサイトに誘導され、ID、パスワード、クレジットカード情報を入力させて盗み取ろうとします。

これはフィッシングという手口です。

「フィッシング」の手口のイメージ

三輪さんもだまされた

フィッシングの手口は、年々、巧妙化しています。

実は私もだまされた経験があります。

三輪さんでも!?

あるネットサービスを契約していて、年に1度、支払いをしていました。

その更新時期にたまたま偽メールが来たのですが、いわゆる身に覚えのある内容だったので、手続きしないといけないと思ってしまったんですよ。

更新について知らせてくれてありがとう、ぐらいの気持ちで。でも、だまされたことにすぐ気づきました。

三輪さんが“だまされた”という偽メール(※一部加工しています)

なぜ気づけたんですか?

更新手続きをしたのに、すぐまた同じメールが来たんですよ。「更新してください」と。

あれ、更新したはずなのにおかしいなぁと思って検索したら、偽物だと発覚しました。

カード番号を入力してしまっていたので、念のためカード会社に連絡してカードを止めました

クレジットカードの利用明細は絶対に確認を!

気づけなかったら、悪用されていたかもしれないんですね

そうなんです。カードの不正利用の被害額は残念ながら増加傾向です。

2021年は、約330億円でしたが、2022年は3割以上も増えて、約436億円と、過去最悪を更新しました。

今の時代、自分のカードが不正利用されていないか毎月、明細を見て利用額を確認することは絶対に必要です。

もし、カードが不正に利用されていたら、泣き寝入りするしかないのでしょうか?

カード会社の規約には補償制度や補償期間が記載されています。

自分の利用でないことが明白になれば、例えば利用から60日間の間に気づくことができれば払わなくて済む可能性があります。

いま、利用明細自体は紙ではなくネット上で確認することが多くなっていると思うので、わざわざ見に行く習慣を作ることが大切ですね。

もう見破れない時代に

私もだまされない自信がないです…

だまされて感じたことは、もう「心当たりのないメールは開かない」ということで防げる時代ではないということです。

ふだんから気を付けていても、複数の仕事を抱えているとか、プライベートで心配事があって集中できないとか、バタバタしている時とか、誰にでもだまされやすい隙があると思います。

これまでは、身に覚えのないメールは開かないとか、アドレスから偽サイトを見破る偽サイトに個人情報を入力しない、ということが言われてきたんですが、それでも被害が増えているんですね。

いまは身に覚えのあるようなメールが来ますし、偽サイトも本物と見分けがつかないほど精巧に作られています。

対策方法が時代に合わなくなってきたということですか?

はい。最近の議論されている対策は、本物のメールであっても「メール本文に書かれているURLをクリックしない」ということです。

つまり、もう偽メールや偽サイトは見破れると言いがたいので、そもそも見破る努力をやめましょうと。

ネットで何か買い物したい、利用確認したいというときは、公式サイトをブックマークしておいて、そこからしかアクセスしないようにしたほうがいいです。

気をつけます…

あとSNSを利用したフィッシングにも気をつけて下さい。

広告に偽サイトのURLが載っているとか、著名人をかたったアカウントで偽サイトを宣伝するとか。「すごいいい商品見つけたよ」と口コミのように投稿して偽サイトに誘導するものもあります。

友人のアカウントが乗っ取られて、怪しいリンクが送られてきたことがあります。

確認したら、乗っ取られていたことがわかり、クリックせずにすみました。

友人だと信じたまま、LINEの2段階認証のパスコード4桁を教えてしまうケースもあります。

2段階認証とは、サイトにログインするときに通常のIDやパスワード以外の追加の要素の入力を求め、本人確認を行う方法のこと。

自分のアカウントがやられてしまうと、自分が金銭的に被害にあうだけではなく、他人に迷惑がかかるというのは、SNS時代の被害の特徴といえるかもしれません。

手口を知っておいて

いろいろなネットサービスを安全に使う方法はありますか?

ポイントはシンプルです。

1つはパスワードをちゃんと管理すること。2つ目は、ソフトウエアのアップデートを欠かさないことです。

3つ目は、よくある犯罪の手口や特徴を認識しておくことが必要です。

高度な技術的対策はもちろん重要なのですが、犯罪組織側も、それを突破するのは難しいとなったときに、狙うのは「人」なんです。

偽メールで偽サイトに誘導とか、流出パスワードの再利用といった、人間を相手に攻撃したほうが楽なんですね。

それに引っかからないようにどうしたらいいか考えることが、1人ひとりに求められています。

1からわかるサイバーセキュリティー。次回は、不適切な動画の拡散、ひぼう中傷による自殺問題などSNS社会のおそろしさがテーマです。私たちはどう、SNSと向き合っていけばいいのか、考えます。

撮影:芹川美侑 編集:林久美子

詳しく知りたいテーマを募集

詳しく知りたいテーマを募集

面接・試験対策に役立つ時事問題マスター