さまざまなサービス間で
パスワードの使い回しはNG
セキュリティでよく言われることの一つとして、「パスワードの使い回しはNG」というものが挙げられる。しかし、複数のパスワードを覚えておくのは面倒。一つだけのパスワードで済ませられれば楽だと思う人もいるだろう。
それでは、パスワードを使い回すことは何が問題なのだろうか。答えとしては、「パスワードリスト攻撃」というサイバー攻撃にそなえるためだ。
パスワードリスト攻撃とは、悪意を持った人間が、不正に入手したIDとパスワードのリストを使って、不正アクセスを試みるというもの。
企業から顧客のデータが流出してしまい、その中にサービスにログインするためのIDとパスワードが含まれていたとしよう。そのデータを入手した人間は、他のサービスにもそのIDとパスワードで不正アクセスを試みようとする。
そのため、さまざまなサービス間で同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。パスワードリスト攻撃は、正規のIDとパスワードを使ってログインしようとしているため、不正ログインを防ぐことが難しい。
逆に言えば、サービスごとに異なるパスワードを設定しておくことで、パスワードリスト攻撃の被害に遭いづらくなる。
パスワードを自分だけのルールで作る
パスワードの使い回しがよくないとして、それでは、どのようなパスワードを設定するのがよいのか。
アルファベット、数字、記号などを混ぜ、長い文字数にするのがよいとされている。ただ、「password」のようなわかりやすい単語を使いたいという考えもあるだろう。
その場合は単語をそのまま使わず、「p@ssw0rd」のように、アルファベットを記号や数字にするというように、自分だけのルールを用意して変換するという手もある。そこに同じようなルールで変換した別の単語を付け加えれば、より強固なパスワードとなる。
パスワードの“ヒント”を紙などに書き、肌身離さず持ち歩くという手もある。ただ、あくまで「パスワードそのものは書かない」点が重要。自分にしかわからない、パスワードを思い出せる情報を書いておくこと。
自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用可能だ。「パスワードの管理は面倒だ」と思っている人こそ、利用してほしい。
また、ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などもセキュリティとして有効なので、設定しておきたい。
今回は、McAfee Blogから「オンラインサービスでID・パスワードの使い回しに潜む危険とセキュリティ対策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
オンラインサービスでID・パスワードの使い回しに
潜む危険とセキュリティ対策:McAfee Blog
かつて、詐欺犯罪というとマルチ商法のイベントや訪問営業などで担当者の巧みな口車に乗せられてしまい、被害に遭ってしまうというのが一般的なイメージだったと思います。しかし、21世紀に入り、一般家庭でも気軽にインターネットが利用できるようになって以来、これらのアプローチ方法は著しく変化しています。特にスマホが登場した2010年頃からは手口が多様化しており、今やインターネットを使ってオンライン上で仕掛けるサイバー犯罪の方が格段に多いといえます。
通常、SNSをはじめ、オンラインバンキング、サブスクリプション式の動画視聴サービスなど、様々なオンラインサービスを使用する際にはIDとパスワードが必要です。サイバー犯罪者が個人情報や金銭目的のために罪を犯す際、まずはIDとパスワードを盗もうとしているということは私達現代人にとって周知の事実といえますが、未だに各オンラインサービスで同じIDとパスワードを使い回しをしている人が多いのが現状です。今回は、IDとパスワードを使い回した結果、起きてしまった被害事例を紹介するとともに、被害に遭わないために自分自身ですぐにできる対策について解説します。
パスワードの使い回しが思いもよらない被害に繋がる
現在、スマートフォンの料金やオンラインショッピングなどの各種支払いや映画視聴、ゲーム、そして人間同士の出会いなど、様々なことがオンライン上で行なうことができる便利な世の中になりました。しかしながら、便利さと危険は表裏一体といえ、オンライン上には様々な犯罪が渦巻いており、サイバー犯罪者はあらゆる手段を使って私達を陥れようとしてきます。
なかでも最も多いのがパスワードの使い回しを悪用した犯罪です。今日のデジタル社会において、世界中の人々が多くのオンラインサービスを利用していますが、ネックなのがIDとパスワードの管理です。頭ではダメだとはわかっていても、覚えておく自信がなかったり、再設定の面倒さを考えると、ついつい同じIDやパスワードを設定しがちになります。このような自分だけは大丈夫だろうという軽はずみな行動がのちに大事件に巻き込まれてしまう原因となりかねません。IDとパスワードの使い回しはサイバー犯罪者の格好のターゲットであり、一度、特定のオンラインサービスのログイン情報を盗まれてしまうと、同じIDやパスワードで設定していた他のオンラインサービスも乗っ取られてしまい、個人情報漏洩や金銭的な被害に遭ってしまう可能性があります。
パスワードリスト攻撃による危険
様々なオンラインサービスでIDとパスワードの使い回しを行なっていると、パスワードリスト攻撃される可能性があります。パスワードリスト攻撃とは、パスワードリストに掲載されているIDとパスワードの組み合わせを試して不正ログインを試みる攻撃で、複数のオンラインサービスでIDやパスワードを使い回している場合に被害に遭いやすくなります。サイバー犯罪者は多くのユーザーがIDとパスワードの使い回しをしていると見込んで、何らかの方法を使ってパスワードリストを入手し、私達を罠にはめようとしてきます。また、IDとパスワードのリストの順番を参考にしながら攻撃することから「リスト型アカウントハッキング」や「アカウントリスト攻撃」とも呼ばれています。以下では、大規模なパスワードリスト攻撃による事件をいくつか紹介します。
「ビックカメラ」や「楽天」のポイントを不正利用(2014年)
2016年秋、家電量販店「ビックカメラ」や大手通販サイト「楽天」の会員情報が漏洩し、ポイントが不正利用されたことが発覚しました。原因はパスワードリスト攻撃によるもので被害総額は約200万円にも上りました。この事件は犯人が逮捕されたことでメディアでも大きく報道され、パスワードリスト攻撃の認知度が一気に広まるきっかけとなりました。
docomoのオンラインストアで1000件ものiPhoneXが不正購入(2018年)
2018年夏、docomoのオンラインストアがパスワードリスト攻撃を受けて1800件のアカウントに侵入され、当時iPhoneシリーズの中でも最新の機種であった「iPhone X」が約1000件も不正購入されてしまうという事件がおきました。犯人は、カード情報の入力せずにログインするだけで購入できてしまうという利便性を巧みに悪用しました。
スマホ決済サービス「7pay」が不正利用でサービス終了(2019年)
セブン&アイ・ホールディングスが運営するスマホ決済サービス「7pay」は、2020年7月のサービス開始直後から数千万回にわたる不正ログインの攻撃をされてしまい、ユーザーの電子マネーが不正利用されるなど、最終的な被害総額は4000万円にもなり、わずか2ヶ月でサービス終了に追い込まれてしまいました。
JR東日本の「えきねっと」に不正ログイン(2020年)
2020年3月、JR東日本が運営するオンライン上で切符が購入できる「えきねっと」の3729人のアカウントに不正ログインが行なわれ、氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部等が流出した可能性があると発表しました。これはフィッシング攻撃やマルウェア等で得た個人情報を他の目的で再利用したリスト型攻撃によるものです。
総合転職情報サイト「エン転職」が不正ログインで25万人分のWeb履歴書が漏洩(2023年)
2023年3月、エン・ジャパンが運営する総合転職情報サイト「エン転職」で、外部からの不正ログインによって25万人ものWeb履歴書が漏洩しました。原因は、外部から第三者が何らかの手法を使って不正にIDとパスワードを取得し、様々なサイトにログインを試みるリスト型アカウントハッキングによるものでした。
自分でもできる安全性の高いIDとパスワードの作成方法
上記で紹介したパスワードリスト攻撃などに狙われないためにも、独自性のあるIDとパスワードの設定が重要といえます。こちらでは安全性の高いIDとパスワードを作成するポイントについて解説します。
パスワードは、オンラインサービスを利用する際に最も使用されている認証方法ですが、常にサイバー犯罪者に狙われているのも事実です。サイバー犯罪者に盗まれないためにも、できるだけ推測されにくい安全性の高いIDとパスワードを設定する必要があります。
まず、自分の誕生日や数字の12345など推測されやすいものをパスワードに設定してはいけません。自分にとっての記念日や飼っている犬の名前などもサイバー犯罪者によってSNSなどを使って推測されてしまいます。推測されにくいパスワードとは、英語の大文字と小文字、数字、そして記号を複雑に組み合わせた8文字以上のものが理想的です。
ただし、この推測されにくいパスワードの難点は、自分で覚えておくことは難しいということです。8文字以上の英字と数字、記号をごちゃまぜにしたら通常は覚えることができないですが、最近ではパスワードマネージャーなどと呼ばれるパスワードを自動で生成するサービスが存在します。パスワードマネージャーは、主にセキュリティ対策ソフトなどが提供しているサービスで、自動的に複雑なパスワードを生成してくれるだけでなく、そのパスワードを管理してくれるので、一回一回覚えておく必要もなくなります。なかでもインターネットセキュリティ業界において、世界的に知名度があるマカフィーが提供しているマカフィー+ウルティメイトには、パスワード管理機能という優れたサービスを兼ね備えています。これは複雑なパスワードを生成して自動保存するので、ログインする際には保存しているログイン情報を使用するのでデバイスでのログイン処理を高速化してくれます。もちろん、セキュリティ対策ソフトなのでログイン情報時のIDとパスワードの保護もしてくれるので安心です。
まとめ
今回、IDとパスワードの使い回しに潜む危険を具体的な被害事例とともに解説してきました。現代社会においてIDとパスワードの漏洩は最も知られているサイバー犯罪の1つといえます。IDとパスワードの使い回しは非常にリスクが高く、常用しているとサイバー犯罪者に狙われ、個人情報や金銭を盗まれてしまう可能性が高いです。被害に遭わないためにも各オンラインサービスでIDとパスワードを使い回しするのではなく、アカウント毎に複雑なIDとパスワードを個別に設定することをおすすめします。また、上記で紹介したようにパスワードを管理するオンラインセキュリティサービスなどを使って管理することで被害は最小限に抑えられる可能性があります。オフラインだけではなく、オンラインの世界でも自分の身は自分でしか守ることができません。今回紹介したような対策を参考に自分のデジタル情報を自分自身で守るようにしましょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト