科学と文化のいまがわかる
デジタル
2022.05.11
毎日のように起きている、サイバー攻撃や情報漏えい。
いつあなたのSNSのアカウントが乗っ取られるかわかりません。
そんな状況にも関わらず、あるアンケート調査では「パスワードを使い回している」と回答した人が半数にものぼっています。
でも、なぜ使い回してはいけないの?
安全なパスワードを設定するだけで、本当に大丈夫なの?
最近よく聞く、パスワードの定期変更は必要ないという話は、本当なの?
パスワードの保存や設定について、改めて専門家に聞きました。
向かったのは、「ITパスポート試験」の事務などを担当する情報処理推進機構=IPA。
入り口で早速、パスワードに対する並々ならぬ情熱が垣間見えました。
教えてくれたのは、IPAでサイバーセキュリティーを担当する加賀谷伸一郎さん。
まずは、IPAがパスワードを使い回している人がどれくらいいるかなどを調査した「2021年情報セキュリティに関する意識調査」の結果について伺いました。
アンケートに回答した5000人のうち、およそ半数がパスワードを使い回しているという結果でした。
パスワードの脅威についてみなさんの正しい理解が追いついていないと感じています。
そもそも、なぜパスワードを使い回してはいけないのでしょうか?
まず、パスワードを破ろうとする手口からご紹介します。
ひとつは、あるIDに対してあらゆるパスワードを試す「ブルートフォース攻撃(総当たり攻撃)」というものです。
よく使われているパスワードを試していく「辞書攻撃」というのもあります。
「abcdef」や「12345」、「password」などといった推測しやすいパスワードにしていると、すぐに破られてしまいます。
ただ、こうした攻撃ではパスワードの入力を何度も失敗することになるので、ウェブサイトによってはロックがかかるようになっています。
これを避けるため、よく使われているパスワードを固定して、それをあらゆるIDに対して試す「リバースブルートフォース攻撃」というのもあります。
ひとつのIDに対する入力の失敗は1度だけになるので、システム側からすると、サイバー攻撃を受けているのか判断しにくいのです。
私は狙われないから簡単なパスワードでも大丈夫とは考えず、簡単なパスワードのIDが片っ端から狙われていることを知って下さい。
これらに加えて10年ほど前から出てきたのが、「パスワードリスト型攻撃」です。これは、あるウェブサイトからサイバー攻撃などで流出したIDとパスワードのセットを、別のウェブサイトに試すというものです。
インターネットの闇サイト、ダークウェブには、こうしたIDとパスワードが大量に流通して売買されています。
同じIDでパスワードを使い回していると、様々なサイトで不正にログインされてしまうということですね。
そういうことです。
メールアドレスなどのIDは使い回すことが多いと思いますが、パスワードはそれぞれ別のものにしておくと、例えどこかのウェブサイトから流出しても、他のサービスにまで被害が広がりません。
ウェブサイトでアカウントを作ろうとすると「安全なパスワードを設定して下さい」などと求められます。どのようなパスワードが安全なのでしょうか?
「出来るだけ長く」、「複雑で」、「使い回さない」という3原則があります。
「出来るだけ長く」というのは、「ブルートフォース攻撃(総当たり攻撃)」への対策です。
この攻撃はソフトウエアで自動的に行われますが、コンピュータの性能が進化するとともに、驚異的なスピードであらゆるパスワードが試されるようになりました。
しかし、例えばアルファベットのパスワードの場合でも、1桁増えるごとに26倍の組み合わせを試さなければいけなくなります。十分に長いパスワードであれば、事実上総当たりは不可能になります。
具体的には、どれくらい長ければ安全なのでしょうか?
よく聞かれる質問なのですが、程度の問題なので、覚えられる限り出来るだけ長い方が良いと答えています。具体例をあげるとすれば、アルファベットだけで8桁のパスワードだと、全て試すのに1日もかからないんじゃないでしょうか。
また、「複雑で」というのは、推測しやすい「12345」などのパスワードを試される「辞書攻撃」を防ぐためです。大文字と小文字を使い分けたり、記号を入れることで推測されにくくなります。
「使いまわさない」というのは、先ほどご説明した通り、「パスワードリスト型攻撃」への対策です。
このように、対策と効果をセットで理解してもらいたいと思っています。
3原則を守ると、複雑で長いパスワードをいくつも覚えなければいけないので大変そうです…。
それにはコツがありまして、IPAがすすめているのは、日本語のフレーズをローマ字に直すというものです。例えば「リンゴが好き」は「ringogasuki」となり、これだけで11桁ありますよね。さらに、どこかに好きな数字や記号を入れたり、大文字にしたりすると複雑さも兼ね備えられます。
「リンゴが好きよん!」、「ringoGa@suki4!」とかにすると、なんとか覚えられそうです!
このフレーズは最低限、覚えた上で、さらに、サービスごとに識別子を付け足すといいと思います。
例えばAサイトには「-g1」、Bサイトには「-g2」などです。これとフレーズを組み合わせて、Aサイトにログインするときは「ringoGa@suki4!-g1」などとします。ウェブサイトごとの識別子が覚えられないようであれば、ウェブサイト名と識別子だけの表を紙に書くなり、エクセルでまとめるなりしてもいいでしょう。
たとえそれが流出しても、「ringoGa@suki4!」というフレーズさえ流出しなければ、パスワードが破られることはほぼありません。
ブラウザなどがランダムなパスワードを生成して保存してくれる「パスワード管理ツール」もありますよね。自分で覚えなくてもいいので、楽だなと思います。
もしパスワード管理ツールを使うなら、そのサービスを全面的に信頼できる場合に限ってください。
注意してほしいのは、そのサービスがいきなり終了したり、自分で解約してしまったりして、保存したパスワードにアクセスできなくなることです。
また、パスワードをリセットするときは多くの場合、メールアドレス宛にリセット用のリンクを送ると思いますが、そのアドレスはきちんと管理し続けるようにしてください。
もう使っていないキャリアメールのアドレスを再設定用に登録していて、パスワードリセットが出来なかったことを思い出しました…。
ちなみに、最近はパスワードの定期変更は必要ないという話もよく聞きます。
総務省は、定期変更を求めると推測されやすい単純なパスワードを使いまわしてしまう可能性があると指摘して「定期変更は不要」と断言していますが、実際どうなのでしょう?
2017年に、米国国立標準技術研究所=NISTが「定期変更を求めてはいけない」という指針を出して、セキュリティー業界では大きな話題となりました。
それからIPAでも「定期変更をしなくてもいいんですよね?」と問い合わせを受けることが増えましたが、私たちとしては定期変更を肯定も否定もしないという立場です。
定期変更が役に立つ場面もあるということでしょうか?
そうです。
まずパスワードの変更が必要な場面というのは、サイバー攻撃でパスワードが流出した可能性があったり、自分のアカウントに不正にログインされた形跡があったりした場合です。裏返せば、何もなければパスワードを変更する必要はありません。しかし、ウェブサイトがサイバー攻撃を公表しなかったり、公表しても気づけなかったりする可能性があります。いまは自身のパスワードが漏洩しているか確認できるサービスもありますが、確実とは言えません。
また、定期変更というより有効期限に近い考え方ですが、例えば会社で使用しているシステムで、人事異動や退職などで本来は削除しなければならないアカウントが、いつまでも残ってしまっている場合があります。こうした事態を防ぐため、定期的にパスワードの変更を求めて、応じないアカウントは停止するという処置を取ることもできます。
こうしたケースも踏まえると、定期変更が役に立つ場面はゼロではないと考えています。
安全なパスワードを設定する前に重要なのは、自分が使っているアカウントの棚卸しをして把握することです。いままでIDとパスワードを設定したウェブサイトやサービスがどれくらいあるか、把握していますか?
正直、把握しきれていないです。10年前くらいに登録して、そのままになっているウェブサイトとか、たくさんありそうです。
そういう方は多いと思います。「金銭的被害が出るもの」「影響が大きいもの」など重要度によってパスワードの強固さを変えることもできます。利用者が減少して廃れていったサービスのウェブサイトの脆弱性が放置され、サイバー攻撃を受けてIDとパスワードが大量に流出したケースも散見されます。パスワードを使いまわしていないとしても、利用しなくなったアカウントは削除するなどしたほうが安全です。
「多要素認証が大事」というのもよく聞きます。パスワード以外にもう一手間かけなければいけないサービスが増えていますよね。
認証というのは、「知識」「所持」「生体」の3つの要素があります。よくあるのは、パスワードに加えて、SMSのワンタイムパスワードで認証するというケースです。これはパスワードが、認証の要素の「知識」にあたり、SMSのワンタイムパスワードは、スマートフォン(厳密にはSIMカード)の「所持」にあたります。このケースでは、「知識」と「所持」の2要素で認証しているので、多要素認証にあたります。
もしパスワードが破られたとしても、もうひとつ関門がありますよ、と。
「所持」という認証で大事なのは、デバイスの管理です。例えば銀行のキャッシュカードも、カード自体の「所持」と暗証番号の「知識」の2要素が必要なので、多要素認証と言えます。「所持」が前提だからこそ「知識」である暗証番号は、4桁の数字でもいいんです。多要素認証における「所持」の要素としてスマートフォンを使っている場合は、デバイスを大切に管理して欲しいと思います。
これからは「パスワードレス社会」になるという人もいます。パスワードを使わずに、もっと安全な認証を使おうという動きですが、どう見ていますか?
パスワードというのは、いつかは破られてしまうものだと思います。ただ、すぐにパスワードレス社会になるかというと、難しいと思います。まずは、多要素認証をしっかり守ることが大事だと思います。
「世界パスワードデー」の5月5日、Apple、Google、Microsoftの3社が共同で、本格的にパスワードレスの実現を目指すと発表しました。
スマートフォンのロックを生体認証やパスコードで解除するだけで、各種のウェブサイトやサービスにパスワードを入力することなくログインできるようにするというもので、来年中にも導入される見通しです。
パスワードを入力する機会が減ることは、フィッシング詐欺などの対策にもつながります。
一方で、パスワードが完全になくなるまでは、引き続き安全に管理する必要があります。
個人情報から決済情報、個人の趣味嗜好まであらゆる情報がインターネット上に記録される時代に、自分のアカウントを守ることはとても重要です。
これを機に自分のパスワード、見直してみませんか?
NEWS UP自宅の「ルーター」 大丈夫?
NEWS UPニッポンが“釣られる” 追跡!サイバー闇市場
ご意見・情報 をお寄せください