Photo By Shutterstock
Facebook、Twitter、Line、Instagram、YouTube、Yahoo! 、Google 、Netflix、Spotify、Amazon、Rakuten、Mercari、Zozotown……。利用するサービスが増えれば増えるほど、必要なパスワードの数も増えていくことになる。新しいサービスが始まると、すぐに使ってみたくなってしまう筆者のような“新しもの好き”にとっては、頭の痛い問題だ。
かといって、「覚えるのが面倒だから全部同じでいいや」というわけにもいかない。同じパスワードを使いまわしていると、どこか一カ所からユーザー情報が流出したら、すべてのサービスで“乗っ取り”や“成りすまし”の被害に遭いかねないからだ。
文:伊藤僑
深刻化する個人情報の流出
つい先日にも、中国のアンダーグラウンド・フォーラム(闇サイト)で日本人の個人情報が2億件以上販売されていたという、セキュリティ関連企業のファイア・アイによる調査結果が公表されており、そこには、氏名、メールアドレス、各種認証情報(ID・パスワード)、生年月日、電話番号、住所などが含まれていた。
しかも、販売価格はわずか1000人民元(約1万7,000円)だったというから、犯罪目的で購入した者が相当数いる可能性がある。調査結果では、流出元の具体的企業名は伏せられていたが、アダルトサイト、食品系インターネット通販サイト、ゲーム関連サイトなどが含まれていたようだ。
新たな個人情報の流出が頻繁に報告されている現状をみると、他人事とは言っていられないだろう。すでに、SNSのアカウントを乗っ取られたり、ネットショップ等で身に覚えのない請求を受けるなど、成りすましの被害にあったことがある人も少なくないのではないか。
気になる人は、これまで流出したメールアドレスを調べることができる「Have I been pwned?」というサイトで確認してみるといいだろう。同サイトは、過去の流出事例すべてを網羅しているわけではないが、283のウェブサイト等から流出した、約50億件ものメールアドレスが登録されている。
流出したメールアドレスを調べることができるサイト「Have I been pwned?」。
認証情報を悪意ある攻撃者から守る
では、ID・パスワードなどの認証情報を悪意ある者から守るにはどうしたらいいだろうか。
まず、「Have I been pwned?」が扱っているような、多くのユーザーが利用するサービスのアカウント情報を、不正アクセスによって丸ごと盗む手口への対抗策として考えられるのは、いかがわしそうなサービス、セキュリティが甘そうなサービスを利用しないことだ。できるだけ安全性の高そうなサービスを選び、もし個人情報が流出してしまったら、速やかにID・パスワードを変更して被害の拡大を防ごう。
オンラインバンク利用者など特定のサービスを利用する者を標的に、メールやウェブサイトに罠を仕掛けて認証情報を入力させる手口も増加している。この場合、ID・パスワードを入力する画面には、メール等に記載されているリンクから飛ぶのではなく、その都度アドレスを確認した正規のサイトからアクセスすることが大切だ。また、キー入力を記録してパスワードを盗む「キーロガー」を仕込んだメールが利用されることもあるので、メールを開く際にも、送信者を確認するなど十分注意したい。
特定の個人に狙いを絞った攻撃の場合には、住所・電話番号・誕生日などの関連情報からID・パスワードを推定したり、パスワードに使われそうな単語・文字列を片っ端から試す辞書攻撃や総当たり攻撃が使われることが多い。これらの攻撃に備えるためには、強度の高いパスワードを使う必要があるのだが、あなたはその作成法をご存じだろうか。
パスワードの古い常識は捨て去ろう
これまで強度の高いパスワードを作成するためには、アルファベットの大文字・小文字や数字・記号をランダムに組み合わせることが効果的だといわれてきた。しかし、意外なことにアメリカ国立標準技術研究所による「安全なパスワードを作るためのガイドライン」(2003年発表)に基づく同ルールは誤りだったようだ。
「大文字や数字、記号を組み合わせても意味が無かった」と語るのは、かつて同研究所の所長を務め、「安全なパスワードを作るためのガイドライン」の策定にも携わったビル・バー氏だ。
では、パスワードはどう作ったらいいのだろうか。
旧ルールに代わって最近推奨されているのが、複数の単語を繋げて文字列にするというもの。日本語の場合なら、複数の単語をローマ字読みにして繋げてしまえば、覚えるのは比較的簡単なのに、他人が推定することは難しいパスワードを作ることができる。
ただし、時間をかければ、これとて攻略できないわけではないので、電話番号等と組み合わせた2段階認証や生体認証など、より強固な認証法の導入が推奨されている。
定期的にパスワードを変更するという方法も、もはや時代遅れとなったようだ。
銀行などの高度なセキュリティを要求されるサイトでログインしようとすると、少し前までは「しばらくパスワードが変更されていません」といった警告が表示されていたのに、最近出ないぞ。
そう感じた人もいることだろう。
定期的にパスワードを変更しても意味は無く、かえって変更パターンを読まれる恐れがあって危険であると、企業や行政機関も認識を改めたのだ。
自分が利用しているパスワードも、新しい常識に基づいて見直してみよう。