このページの本文へ

前へ 1 2 3 次へ

柳谷智宣の「真似したくなるPC活用術」 ― 第34回

銀行からmixiまで、パスワードを安全に運用する技

2010年10月05日 12時00分更新

文● 柳谷智宣

  • この記事をはてなブックマークに追加
  • 本文印刷

 ユーザーが管理する「アカウント」の数は増える一方だ。GmailなどのウェブメールからmixiなどのSNS、Evernoteをはじめとするクラウドサービスをはじめ、オンラインショップ、クレジットカード、証券会社、写真管理サービス、動画投稿サービスなどなど。これらのパスワードをどうやって管理・運用しているだろうか?

 今回は、あなたの使っているパスワードがどれだけ危ないかをチェックしたうえで、パスワードの安全な運用方法を紹介しよう。


多くの人が危険きわまりない
パスワード運用をしている

脆弱なパスワードランキング 海外サイトで検索すると、脆弱なパスワードランキングがすぐに見つかる

 まずは、今使っているパスワードとその運用方法が危ない、と言うことを知ってもらうために、不正アクセスのシナリオを考えてみよう。

 多くのウェブサービスでは、アカウント名にメールアドレスを利用している。Gmailもmixiもそうだ。アカウント名を別に登録するサービスでも、名前やメールアドレス(@の前)から推測できるアカウント名を使っている人も多いだろう。プライベートや仕事でメインアカウントを使っている人は、多数の人にアドレスと名前を知られている。メールアドレスが名刺やブログに載っていなくても、さまざまな経路で個人情報は漏洩している。迷惑メールが届いているのがその証拠だ。

 不正アクセスにはパスワードも必要だ。不正アクセス者はまず数字をチェック。生年月日を試してみる。例えば1980年(昭和55年)11月23日生まれの人なら、「1123」「5511」「19801123」「11231123」「55112355」といった具合だ。市外局番を外した電話番号という人も多い。相手のことをより知っているなら、車のナンバープレートや住所の番地以下の数字を試す手もある。恐ろしいことに、1111、1234、4321といった同一番号や連番を使っている人もいる。

 文字列なら、姓名や車の名前、好きなキャラクターかもしれない。「pass」とか「password」のように何も考えていない文字列なら、不正アクセス者も手間がかからない。「abcd」や「qwerty」(キーボードの左上に並んでいるキー)も試してみる。海外サイトでありがちなパスワードのランキングを見てみると、「dragon」「baseball」「master」「love」などの単語が使われていることがわかる。日本なら、ローマ字読みの単語も入れてみる。例えば「gokuu」「aisiteru」などだ。試すなら4、6、8文字の単語が当たりやすい。

 パスワードにはアルファベットと数字、記号を混在させなければいけないサービスもあるが、その場合は紹介した単語と数字を組み合わせると当たりやすい。「abc123」や「pass1123」などだ。

 ちょっとひねったパスワードかもしれない。例えば「yanagiya」という名前なら、母音を抜いた「yngy」という文字が考えられる。8文字が必要なら、yanagiyaの「i」を「1」に変化させて、「yanag1ya」にする。「o」という文字は「0」にする手もある。

 パスワードはランダムに試すまでもなく、漏洩している可能性もある。iPhoneアプリを人に見せようとして、パスワードを目の前で入力していないだろうか。露骨に見なくても、だいたいの数字はわかる。あるいは、出社してパソコンにログオンする際、肩越しに覗かれてはいないだろうか? パソコンの調子が悪いときに、詳しい人に質問し、その際にパスワードを伝えてしまったことはないだろうか。そうでなくても、パスワードを付箋紙に書いてディスプレーに貼っていたりするのは、不正アクセスしてくださいと言っているようなものだ。

 誰でも手に入れられるフリーソフトを使い、パケットを受信してチェックできるようなら、さらにさまざまな手段が考えられる。POPメールやFTP通信では、アカウント名やパスワードが平文で送受信されているのだ。また、無線LANのWEPを解読するソフトも出回っており、ここからもパスワードが漏洩する可能性がある。

無線LANの暗号化方式は、強固なAESなどを利用すべき 無線LANの暗号化方式は、強固なAESなどを利用すべき!

パスワードを使い回していると
芋づる式に被害が拡大する

 パスワードの付け方や運用に無頓着な人は、複数のサービスで同じパスワードを使っている可能性が高い。そうすると、1ヵ所のパスワードが漏洩しただけで、さまざまなサービスに不正アクセスされてしまう。

 例えば、携帯電話やiPhoneで使っているパスコードが銀行のキャッシュカードと同じなら、預金を引き落とされてしまう可能性がある。Windowsにログオンするパスワードを盗み見られて、SNSに不正アクセスされると、個人情報が筒抜けになるだけでなく、なりすましの被害に遭うかもしれない。

 ウェブメールのパスワードを知られても、「ほとんど使っていないから問題ない」などと考えない方がいい。例えばGmailなら、取り込んでいるほかのメールアカウント情報がわかる。Googleサービス全体で利用しているなら、YouTubeやAdSense、Picasaにもログオンできる。非公開設定にしているプライベートな動画や写真が自由に閲覧されてしまうのだ。

パスワードが漏洩すると多数のサービスに不正アクセスできてしまう Googleは無料サービスだが、パスワードが漏洩すると多数のサービスに不正アクセスできてしまう

 EvernoteやDropboxなど、有名どころのクラウドサービスを片っ端から試せば、ひとつにアクセスされるだけで、溜めているデータも見られてしまう。仕事で使っているなら、会社にまで迷惑がかかることもある。

クラウドサービスに不正アクセスされたらプライバシーがだだ漏れ クラウドサービスに不正アクセスされたら、プライバシーがだだ漏れ

 ショッピングサイトやヤフオクで使っているパスワードが見つかれば、住所や電話番号、携帯電話アドレスなどがばれる。不正な購入や落札をして、別の住所で受け取られるかもしれない。逆に、そのユーザーIDを利用して架空の出品を行ない、詐欺行為を働くケースもある。これに引っかかったユーザーは、クレジットカードから手数料を引き落とされるか、事務局からの連絡があるまで気がつかないかもしれない。

前へ 1 2 3 次へ

この連載の記事

注目ニュース

ASCII倶楽部

最新記事

ASCII.jp特設サイト

ASCII.jpメール デジタルMac/iPodマガジン

ASCII.jp RSS2.0 配信中

ピックアップ

富士通パソコンFMVの直販サイト富士通 WEB MART