キヤノンMJ/サイバーセキュリティ情報局

ハッキングされやすいパスワードとそのセキュリティを高める方法

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「“ありがち”なパスワードのセキュリティリスクとその対策」を再編集したものです。

 セキュリティの専門家は10年以上前からパスワードの終焉を予測していた。しかし、パスワードは今でもオンラインアカウントやモバイルアプリにログインするための主要な手段であり続けている。なぜだろうか?それは、誰もがパスワードの使い方を理解しているからだ。そして、たいていの人は新しい方法を学ぶことを面倒くさがる。しかし、実際のところ、私たちはパスワードを安全に使いこなせてはいないのだ。

 NordPassが発表した2022年に最も使われた200個のパスワードリストは、誰もが知っておくべき事実だろう。ここにあるパスワードは極めて重大なセキュリティリスクとなる。もし使用しているパスワードがリストにあるのならば、今すぐ変更するべきだ。さらに言えば、あらゆるログイン情報の管理方法を変更した方が良い。手遅れになれば、余計な時間やコスト、ストレスが増大してしまう可能性があるからだ。

なぜパスワードが重要なのか

 ログイン情報は、現代のデジタル生活で重要な役割を担っている。配信サービス、オンラインバンキング、メッセージ、配車サービスからソーシャルメディアに至るまで、あらゆるサービスで必要となるからだ。多くの場合、これらのアカウントにはクレジットカード情報や個人情報が保存されている。だからこそ、ログイン情報はサイバー犯罪の闇市場で需要が高いのだ。6月に発表された調査では、オンラインの犯罪市場において、240億件ものユーザー名とパスワードの組み合わせが出回っていると報告された。2020年から65%増加しており、それは地球上の全人口に対して約4倍に相当する。

 犯罪者はパスワードを取得するために、以下のようなさまざまな手法を用いる。

フィッシング:最も古典的な手法がフィッシング詐欺だ。信頼できる組織になりすました詐欺師がメールやテキストメッセージ、電話で接触してくる。一般的に、ログイン情報やその他の情報を再入力させるよう、何らかの理由付けをする場合が多い

ブルートフォース:ハッカーは自動化されたツールを用いて、トライアンドエラーを繰り返しながらアカウントへの不正侵入を試みる。頻繁に用いられているパスワードを入力し、ログインできないか検証する場合が多い

クレデンシャルスタッフィングブルートフォース攻撃の一種。ハッカーはサイバー犯罪の闇市場で購入した、漏えい済みのパスワードを使用する。自動化されたプログラムを用い、多数のWebサイトやアプリに対し、不正ログインを大量に仕掛ける

キーロガー、インフォスティーラー:情報窃取型マルウェアは、フィッシングメールやアプリストアに公開された悪意のあるアプリから拡散されることがある。デバイスやコンピューターが感染してしまうと、入力されたパスワードが不正に収集されてしまう

ショルダーサーフィン:背後からの覗き見である。古典的ではあるが、コロナ禍を経て人々が職場復帰する中、再びよく使われるようになった。公共の場でパスワードを入力する際は、盗み見ようとする人に注意するべきだ

 アカウントへ不正侵入した攻撃者は、そこに保存されている個人情報やクレジットカード情報を盗むことができる。不正な決済や、その他の詐欺に悪用される恐れもある。2021年の詐欺による不正取引の被害額は、320億ドル(4兆2,000億円相当)を超え、2027年には385億ドル(5兆600億円相当)に達すると予測されている。

ハッキングされやすいパスワード上位20

 残念ながら、攻撃者にとって都合のよい状況を作り出しているインターネットユーザーは多い。セキュリティ事故によって流出した3TBに及ぶパスワードのデータベースを解析すると、30カ国で最も頻繁に用いられたのは「password」であり、およそ500万件が該当した。2番目は「123456」であり、その次はそれより少し長い「123456789」が続いた。そして、「guest」と「qwerty」を含めた5つが上位を占めた。これらを使用するアカウントは、1秒もかからずに不正侵入されてしまうだろう。

 NordPassのWebサイトで全体のリストを閲覧できるが、2022年の上位20を以下に示す。

順位 パスワード 順位 パスワード
1 password 11 1234567
2 12123456789 12 1234
3 12123456789 13 1234567890
4 guest 14 000000
5 qwerty 15 555555
6 12345678 16 666666
7 111111 17 123321
8 12345 18 654321
9 col123456 19 7777777
10 123123 20 123

 2022年に全世界で最もよく使われたパスワード上位20(出典:NordPass

 上記の基本的なパスワードに加え、新たな傾向が研究者によって毎年確認されている。パスワードとして常に用いられているのは、以下のようなパターンだ。

スポーツチーム:例えば、サッカーチームである「レッドスターベオグラード」は、5,850万件以上確認された

ファッションブランド: 1,480万件近く使われている「ティファニー」が代表例だ

悪口:最もよく用いられている「f*ck」は2,100万回以上確認された

音楽アーティスト:最上位の「U2」は3,300万回以上確認された

映画:最も頻繁に使われている「leon」は640万回に及ぶ

自動車:800万以上のユーザーが「mini」をパスワードに使用している

ゲーム:2022年に最も用いられた「arma」は620万以上のユーザーが使用していた

食べ物:約860万件のパスワードが「fish」という単語を使用していた

 さらに、これらのパスワードを使い回したり、人目に触れるところに書き残したり、あるいは他人と共有したりすれば、悪意のある攻撃者や詐欺師が容易に悪用できるようになってしまう。また、日常生活と同じパスワードを業務でも使用していたら、勤務先をサイバー攻撃のリスクにさらすことになるだろう。その結果、企業の機密情報が盗まれることになれば、その影響は甚大なものとなるだろう。

パスワードのセキュリティを高める方法

 幸いなことに、パスワードセキュリティを高めるのは比較的容易であり、すぐに実施できるものが多い。個人情報や銀行口座の情報を保護するために、以下の対策を検討してほしい。

常に複雑でユニークなパスワードやパスフレーズを使用することで、攻撃者が不正侵入したり、クレデンシャルスタッフィングを仕掛けたりするのが難しくなる
関連動画:複雑なパスワードを作る方法

パスワードの使い回しをしない。クレデンシャルスタッフィングによって、1つのアカウントが不正侵入された際に、ほかの複数のアカウントも被害に遭ってしまう

パスワードを共有しない。その意図はなくても、誤用される恐れがある

使用していないアカウントを停止する。不正侵入されたことに気づかないと、セキュリティリスクを引き起こす

パスワードマネージャーを使用する。また、パスワード生成ツールの使用を検討する。ツールを使えば、複雑で長いユニークなパスワードを自動生成し、保管してくれる。そして、設定したWebサイトへ自動ログインできる。必要なのは、ツールに設定したマスターパスワードだけだ

パスワードの強度を定期的に検証する。単純すぎたり、古すぎたりする場合は更新する

可能であれば多要素認証(MFA)を有効化する多要素認証の選択肢を設けているアカウントも増えた。顔認証や指紋認証ワンタイムパスワードなど、認証に別の「要素」が必要になることで、セキュリティ強度が増す

公共のWi-Fiでログインしない。同じネットワーク上の盗聴者がパスワードを傍受する恐れがある

・著名なベンダーから提供されるセキュリティソリューションを導入する。各種マルウェア、フィッシング攻撃、その他の脅威に備える

・外出時はショルダーサーフィンに注意する。ノートパソコンの場合、画面保護シートの使用を検討する

・見知らぬメールやテキストメッセージに含まれる疑わしいリンクはクリックしない。怪しいときは、メッセージに返信するのではなく、連絡先を検索してから送り主に直接確認する

HTTPSを使用しているWebサイトにのみにログインする。安全性が高く、ログイン情報を盗聴する攻撃から保護してくれる

・パスワードが情報漏えいに巻き込まれていないか確認できるサービスに登録する

 使用しているパスワードが上記リストに含まれている場合、パスワードセキュリティの改善は最も重要なタスクとなる。リストに含まれていなくても、今一度パスワードについて確認し、改善点がないか見直してほしい。

「5 common password mistakes you should avoid(避けるべき、パスワードにまつわる5つの誤り)(英語のみ)」
なぜNetflixのパスワードを自身で管理するべきか
「A recipe for failure: Predictably poor passwords(予想できるほど単純なパスワードは、問題への早道)(英語のみ)」

[引用・出典元]
The world’s most common passwords: What to do if yours is on the list by Phil Muncaster 2 Jan 2023 - 11:30 AM
https://www.welivesecurity.com/2023/01/02/most-common-passwords-what-do-if-yours-list/