このページの本文へ

パスワードにヒーローの名前を使うのはNG?

2021年10月15日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

ヒーローの名前も「正体」の名前も好ましくない

 在宅での生活で重要になってくるのがパスワードだ。仕事でも、趣味でも、クラウドサービスの利用やオンラインでの買い物などが増えているはず。そうなると、アカウントを作るごとに、パスワードを設定する必要が出てくるだろう。

 パスワードを設定する際は、推測されにくいものにする。これは基本だ。生年月日など容易に推測できるものや、短すぎるものなどはよくない。また、「123456」や「password」などといった、安易なものも好ましくないとされている。

 では、自分の好きなキャラクターではどうだろうか? これも、有名なヒーローの名前を設定するのは、危険な行為かもしれない。

 ウェブブラウザーの「Mozilla Firefox」などを開発するMozilla Corporationのブログでは、「スーパーヒーローの名前をパスワードにすること」について警鐘が鳴らされている(Superhero passwords may be your kryptonite wherever you go online)。

 このブログによれば、個人情報流出のチェックサイトにて、2021年に流出したパスワードの中から「ヒーローの名前」で抽出したところ、一番多いのが「Superman」で36万8397件だった。続いて、「Batman」(22万6327件)、「Spider-Man」(16万30件)、「Wolverine」(5万3745件)、「Ironman」(4万4175件)と並んでいる。

 興味深いのは、「ヒーローの正体である人物の名前」を設定する人も多いということだ。たとえば、ウルヴァリンの本名「James Howlett」と、彼が記憶喪失になったときの通称である「Logan」は3万479件、スーパーマンの地球での名前「Clark Kent」は4919件、バットマンの本名「Bruce Wayne」は2267件となっている。

 自分の名前や生年月日をパスワードにするのが推奨されないのは、「推測されやすい」からだ。よって、人気キャラクターの名称も、比較的推測されやすい、NGなパスワードかもしれない。

パスワードが流出したケースも考慮に入れたい

 あるサービスからパスワードが流出してしまうと、ほかのサービスでも同じものを使いまわしている場合、それらに一斉に不正アクセスされてしまう可能性がある。サービスごとに異なるパスワードを設定しておけば、万が一パスワードが推測されたり、不正に情報が流出したりといったケースでも、悪用される可能性は下がるとされている。

 しかし、パスワードの流出が疑われても、変えない人たちもいる。自分は大丈夫だ……と思わずに、使い回しを避けるのはもちろんのこと、複雑なパスワードを設定するように心がけたい。

 自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用可能。「パスワードの管理は面倒だ」と思っている人に利用してほしい。

 また、ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などもセキュリティとして有効なので、設定しておきたい。

 一方、パスワードが流出するような事件に遭遇したら、どうするべきか。

 もちろん、パスワードの変更は必須。新しいパスワードは複雑で、以前のパスワードとは無関係のものにする。メールアカウントに関連するセキュリティーの質問がある場合は、あわせて変更したい。

 同じパスワードを使用している他サービスのアカウントも、パスワードを必ず変更しておくほか、マルウェアやウイルスがないか、コンピューターをスキャンするのも忘れないことだ。

 “オンライン”になることが多い昨今。パスワードをはじめとして、個人の情報を守る意識が必要だ。今回は、McAfee Blogの「オンラインのプライバシーを守るための5つのヒント」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

オンラインのプライバシーを守るための5つのヒント:McAfee Blog

 みなさんはノートパソコンやモバイル機器を開いて、まず何をしますか? お気に入りのソーシャルメディアにアクセスして最新のニュースをチェックしたり、今週分の食料品の配達を注文したりするでしょうか。日々のオンラインの習慣にかかわらず、ほんの少し注意を払うだけで、オンラインを安全に利用することができます。ハッカーはユーザーが閲覧中にマルウェアやCookieを利用して侵入し、ログイン情報を盗み出すことや、個人の好みを知ることに長けています。StatsCan社が行ったカナダのインターネット利用に関する調査によると、インターネット利用者の10人中6人がサイバーセキュリティに関するインシデントを経験したと報告しています。デジタル社会では、さまざまな問題が発生します。脆弱性に対して必要な措置を取ることによって、オンラインの保護を劇的に改善できます。

要注意なオンラインの3つの脅威

 サイバー犯罪者は、オンラインユーザーの日常の習慣から気づかないうちに利益を得ています。インターネットユーザーの情報をこっそり盗み出すために、サイバー犯罪者がよく使う3つの手法を解説します。

1. アドウェア

 アドウェアや、広告を表示することで利益を得るソフトウェアは、デバイスのユーザーインターフェース上に広告を生成します。 アドウェアは、開発者が収益を生み出すために用いる主な手段です。疑いを持たないオンラインユーザーをターゲットにして、パーソナライズされた広告を表示することでサードパーティから利益を得ます。このサードパーティは、通常、表示、クリック、またはアプリケーションのインストールなど、内容に応じて料金を支払います。

 アドウェアは必ずしも悪意のあるものではありませんが、ユーザーの同意を得ずにダウンロードされたり、悪意を持ってダウンロードされたりする場合は危険です。この場合、アドウェアは長期間にわたって検出されずにユーザーのデバイスに残ることがあり、いわゆる、望ましくない影響を及ぼす可能性のあるアプリケーション、PUA(potentially unwanted application)として知られています。 Cybersecure Policy Exchangeは、意図せずにインストールまたはダウンロードされたコンピュータウイルスやマルウェアは、カナダ人が経験するサイバー犯罪のトップ5の1つであると報告しています。 PUAは、たびたび、クラッシュやパフォーマンスの低下などの問題を引き起こします。

 ユーザーは広告付きの無料プログラムをダウンロードしたり、オンライン通信を暗号化するHTTPS(Hypertext Transfer Protocol Secure)を使用していない、安全ではないサイトにアクセスしたりすることによって、気づかずにデバイスにアドウェアをダウンロードしています。

2. マルバタイジング

 ハッカーは利益を得るため、悪意のあるコードを広告に注入する、アドインジェクションと呼ばれる手法を用いて侵入します。 この手法は、マルバタイジングと呼ばれています。ユーザーが一見すると正当で適切であるにもかかわらず実は危険な広告をクリックした場合、オンラインのさまざまな脅威にさらされる可能性があります。このような広告をクリックすることによって、ウイルスやスパイウェアのようなマルウェアに感染する可能性があります。例えば、ハッカーはブラウザの脆弱性を利用してマルウェアをダウンロードさせ、デバイスシステムの情報を盗んで、操作を乗っ取ります。ハッカーは、マルバタイジングを利用して技術サポートと偽って詐欺を行ったり、Cookieのデータを盗んだりして、サードパーティのアドネットワークに情報を売る可能性もあります。

3. 自動入力機能

 ブラウザの自動入力機能は、多くの人に認識されてない脆弱性の一つです。ブラウザの自動入力機能を使って、手っ取り早く長い文字列を入力したくなりますが、安全ではない可能性があります。サイバー犯罪者は、ウェブページ上で、ユーザーには視覚的に認識できない偽の入力欄にログイン情報を入力させて認証情報を取得します。自動入力のオプションを受け入れた場合は、偽の入力欄にもユーザーネームとパスワードを入力してしまうことになります。

オンラインの習慣を改善する5つのヒント

 インターネットを利用する際には、自分の習慣を見直して積極的にデジタル保護に取り組んでみてはいかがでしょう。 安全な閲覧のために今すぐできる5つのヒントをお伝えします。

1. ブラウザのCookieの消去

 Cookieに保存されたデータには、ログイン情報からクレジットカード番号まで、さまざまな情報が含まれています。この情報を悪用しようとするサイバー犯罪者は、ブラウザのセッションを乗っ取って、正当なユーザーを装い、ネットワークやサーバーを経由してクッキーを盗み出します。自分の情報が悪用されるのを防ぐために、定期的にCookieを消去することが重要です。ブラウザの履歴から、Cookieを含むブラウザセッションに関連するデータを消去できます。

2. 信頼できるパスワードマネージャーの利用

 ブラウザのCookieのデータを消去すると保存されているログイン情報も削除されますが、パスワードマネージャーを利用すれば、定期的に利用するオンラインのアカウントに簡単にアクセスできます。多くのブラウザにはパスワードジェネレーターとパスワードマネージャーが組み込まれていますが、ログイン名とパスワードを信頼性の高いパスワードマネージャーで管理した方が良いでしょう。デバイスにアクセスした人は、オンライン情報にもアクセスできるため、ブラウザのパスワードマネージャーはパスワードマネージャーほど安全ではありません。例えば、True Keyのようなパスワードマネージャーは、別のマスターパスワードを使ってログインする必要があるため、より安全なソリューションを提供します。 また、パスワードマネージャーは、さまざまなブラウザに対応していて、ブラウザよりも強力なパスワードを生成することが可能です。

3. ブラウザのプライバシー設定の変更

 Cookieのデータを消去するだけでなく、ブラウザの設定を変更してオンラインセッションのプライバシーを確保する必要があります。 ブラウザの「Do Not Track」の機能を有効にして、広告主やウェブサイトなどのサードパーティによる追跡を防ぐことが可能です。さらに、ブラウザの設定でポップアップ広告をブロックする、カメラや位置情報へのアクセス権限をコントロールするなどの変更が可能です。

4. 広告ブロッカーの利用

 広告ブロッカーを利用することで不要な広告や悪意のある可能性を含んだ広告を制限し、より安全な閲覧が可能になります。 また不要な広告を取り除いてページの読み込み速度を最適化して、ページを見やすいレイアウトで表示します。さらに、サードパーティが販売できるような情報をウェブサイトが追跡することを防ぎます。

5. 信頼できるセキュリティソリューションの活用

 マカフィートータルプロテクションのようなセキュリティソリューションを導入すれば、脅威の検出、保護、修復のための総合的なアプローチにより、安全なインターネット閲覧が可能になります。パスワードマネージャー、ウイルス対策ソフト、ファイアウォールによる保護機能を備えているため、ユーザーはインターネットを閲覧する際、オンラインの脅威を効果的に回避することができます。

安全な閲覧のために

 インターネットでの行動から多くの情報を取得される可能性があるため、安全に利用できるように保護しましょう。ハッカーは、マルバタイジングや視認できない入力欄から取得したさまざまな情報から、ターゲットの人物像を描いて詐欺を行います。サイバー犯罪者は、常に脆弱性を探しています。オンライン上の行動と習慣を今すぐにでも見直すことが、賢い閲覧への重要な一歩につながります。

最新情報を入手

 日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローしてください。

※本ページの内容は2021年5月12日(US時間)更新の以下のMcAfee Blogの内容に、一部追記しています。
原文:5 Ways to Protect Your Online Privacy
著者:Jean Treadwell

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ

マカフィーは大切なものを守ります。