ESET/マルウェア情報局
ウェブサイトや各種サービスでのパスワード使い回しは絶対に避けるべき
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「LastPass? 1Password? 安全なパスワード管理ツールとは?」を再編集したものです。
ECサイトやSNSなど、会員登録が求められるサービスやアプリが増えている。登録件数が増えると、アカウント認証のためのパスワードをどう管理するかが問題になる。記憶できないことを言い訳に、ついパスワードを使い回してはいないだろうか。しかし、パスワードの使い回しは情報漏えいやなりすましなど不正利用のリスクが増大することになる。この記事では、パスワードの管理方法とそのためのツールについて考えていきたい。
避けるべきウェブサイトや各種サービスでのパスワード使い回し
スマートフォン(以下、スマホ)全盛の時代。ほとんどのユーザーは会員登録が求められるサービスやアプリを数多く使っていることだろう。会員登録を行なう件数が増えた結果、自分が覚えやすいパスワードを複数のサービスやアプリで使い回しているのではないだろうか。
しかし、セキュリティーの観点から言えば、パスワードの使い回しは絶対に避けるべきと断言できる。サイバー攻撃による情報漏えいが相次いでいる中、仮にあるサービスでIDとパスワードなどのアカウント情報が漏えいしてしまうと、その漏えいした情報で他のサービスへも不正ログインされ、被害の範囲が大きくなる危険性がある。サイバー攻撃者は、常に攻撃に使う攻撃用データベースをアップデートし、攻撃の成功確率を高めるために不断の努力を続けていることを忘れてはならない。
パスワードをどうやって管理すべきか
パスワードを使い回すことがセキュリティー的に安全ではないのであれば、利用するサービスやアプリごとにそれぞれ別のパスワードを設定することが正しいということになる。しかし、今やほとんどのユーザーのスマホには多くのアプリがインストールされていることも考慮する必要がある。アプリそれぞれに関してパスワードを暗記するのは、記憶力に自信がある人でも現実的ではないだろう。
だからと言って、アナログ的な発想で、付箋などにパスワードを記載して、パソコンのディスプレーやデスクに貼るようなこともすべきではない。会社の業務スペースはもちろん、自宅であっても誰かがそのパスワードを覗き見てしまう可能性があるからだ。また、英単語や固有名詞など、他人が類推しやすいパスワードを設定するというのもおすすめできない。攻撃者が用いる攻撃手法のひとつとして「辞書攻撃」があるが、その辞書には、パスワードとして設定されることが多い単語がリスト化されているからだ。なお、辞書攻撃については、こちらの記事を参照いただきたい。
そして、自分自身の生年月日や住所、家族の生年月日など、個人情報に紐付いたパスワードも避けるべきだ。ソーシャル・エンジニアリングと呼ばれる手法で、攻撃者は常にターゲットの情報を収集しているため、個人情報をもとにしたパスワードはIDと紐付けされ、ハッキングされる可能性が高まる。
参考:
クラッカーの常とう手段、ソーシャル・エンジニアリングとは
https://eset-info.canon-its.jp/malware_info/special/detail/200317.html
要するに、個々のサービス、アプリごとに複雑で推測されづらく、かつそれぞれ異なるパスワードを設定することが安全な対応となるが、管理が煩雑で現実的に対応することは厳しい。こうしたパスワード管理に関する問題を解決するためのツールが、パスワード管理ツールである。
パスワード管理ツールを選ぶ基準
パスワード管理ツールとは、その名の通り、ウェブサイトやサービス、アプリごとに異なるIDとパスワードを一元管理するツールである。管理ツールにログインするためのマスターパスワードを覚えておくだけで、ウェブサイトやサービスごとに設定したIDとパスワードを自動的に入力してくれる。さらに最近では、パスワード設定時に攻撃者が破りにくい、強度の高いパスワードを生成する機能を備えたツールが一般的となっている。
パスワード管理ツールは、無償・有償を問わず数多くのツールが存在している。しかし、無償のものはサポートやセキュリティー面で不安が残る点は否めない。経営悪化などを理由に突如、サービス自体を停止する可能性もゼロではなく、取得した情報の用途も不明瞭である。そのため、完全に無償で提供されているパスワード管理ツールは不安が残るという点は気をつけておきたい。
LastPassのように、フリーミアム *1のビジネスモデルを採用しているものも増えている。まずパスワード管理ツールを使ってみたいというユーザーであれば、こうしたツールを利用するほうが安全な選択だ。
*1 基本的なサービスや製品は無償で提供し、高度な機能やオプション追加などについては料金を課金するビジネスモデルのこと
機能的な面では、以下のようなポイントを押さえていることが最低限の要件となる。
・クラウド型で、マルチデバイス対応していること
IDやパスワードをクラウド上で管理することで、パソコンやスマホ、タブレットなどそのツールがサポートしている全てのデバイスで同じアカウント情報を利用することができ、デバイスごとに管理を行なう必要がなくなる。
・指紋認証など生体認証に対応していること
指紋認証などの生体認証に対応していれば、マスターパスワード入力の代わりに生体認証を利用できるため、利便性が大きく向上する。
・複雑なパスワードを自動生成できること
パスワードを自分で決めると、どうしても解読されやすいパスワードになりがちだ。そこで、自動生成機能があれば、複雑で破られにくいパスワードをサービスごとに生成可能なため、安全性が大きく向上する。
評判の高いパスワード管理ツールは?
数あるパスワード管理ツールの中で、多くのユーザーに利用されているのが以下の2つのツールだ。
・LastPass
LastPassは、Windows/Mac/iPhone/Android/Linuxに対応したパスワード管理ツールであり、各種ウェブブラウザーの拡張機能として利用できるため、誰でも簡単に使える。フリーミアムモデルを採用しており、広告表示や一部の機能制限がある無償版と、月額のサブスクリプション契約となる有償版がある。サブスクリプション契約は個人用から複数人で使える家庭用、ビジネス用までさまざまなプランが用意されており、比較的低価格である。
・1Password
1PasswordもLastPassと同様に、Windows/Mac/iPhone/Android/Linuxに対応したパスワード管理ツールであり、各種ウェブブラウザーの拡張機能として利用できる。基本的に有償だが、30日間無料で使えるお試し版が用意されている。有償のサブスクリプション契約についても、個人用から家庭用、ビジネス用、エンタープライズ用まで用意されている。
どちらのツールも、パスワード自動生成機能や複数アカウントへの対応、生体認証への対応など、必要とされる機能は一通り備えている。
ウェブブラウザーの標準機能によるパスワード管理
パスワード管理ツールだけでなく、ウェブサイトごとにIDとパスワードを管理し、自動入力を行なう機能はいくつかのウェブブラウザーが以前から標準で搭載している。しかし、ウェブブラウザーによるパスワード自動入力機能(オートフィル機能)で数年前に脆弱性が発見されたこともあり、利用を控えるような動きがあったという背景もある。
しかし、スマホと連携した二段階認証の採用により、安全性は確実に向上している。ChromeもSafariも、スマホを常に持ち歩いているのなら、ひとつのマスターパスワードだけ管理すればよい。ただし、スマホを紛失した場合、ただちに対応しないと不正アクセスされてしまうリスクは残る。もちろん、小さい確率とはいえ、今後新たなウェブブラウザーの脆弱性が発覚する可能性は否定できない。これはパスワード管理ツールにも同じことがいえる。
そのため、どのような方法でパスワードを管理するにしても、関連する情報を常にチェックし、OSやウェブブラウザー、パスワード管理ツールを常に最新の状態にアップデートしておくといった、セキュリティー対策の基本をしっかり行なっておくことが大切だ。
なりすましや不正アクセスを防ぐためにもパスワード管理は厳重に
日常生活においても、ビジネスの現場においても、インターネットの活用が欠かせない時代となって久しい。ウェブサービスやアプリに多くの個人情報、業務情報が保存されているが故に、それらが利用できなくなったら仕事も生活も成り立たないというユーザーも少なくないだろう。
だからこそ各サービスの「鍵」となるパスワードをどう安全に管理するかという点に今一度意識を向けたいところだ。今回の記事で紹介したパスワード管理ツールやウェブブラウザーでの管理など、自分自身にマッチした方法をチョイスし、安全な管理を心がけてほしい。