企業も個人もパスワード管理は大切
顔認証や指紋認証など、さまざまな個人認証のシステムがある中でも、パスワードは未だに重要な認証要素の一つだ。クラウドサービスの利用やオンラインでの買い物など、アカウントを作るごとに必要になることも多い。個人はもちろんのこと、企業でもパスワードの管理は大切といえる。
Facebookの運営などで知られているメタが数億件のパスワードを暗号化せずにサーバーに保管していた問題で、調査していたアイルランドのデータ保護委員会(DPC)が、9100万ユーロ(およそ145億円)の制裁金を科すことを9月に発表している(EU privacy regulator fines Meta 91 million euros over password storage | Reuters)。
この調査は、メタが特定のユーザーパスワードを、読み取り可能なテキスト形式で保存していたという報告を受けて実施されたもの。メタはこの問題を認めたものの、「パスワードが悪用されたり、不適切にアクセスされたりした証拠はない」としている。
パスワードの取り扱いは、個人情報の流出などにつながりかねないため、細心の注意を払う必要がある。たとえば、パスワードを使い回すことはNGと言われる。その理由の一つとして、「パスワードリスト攻撃」というサイバー攻撃にそなえることが挙げられる。
パスワードリスト攻撃とは、悪意を持った人間が、不正に入手したIDとパスワードのリストを使って、不正アクセスを試みるというもの。
たとえば、企業から顧客のデータが流出してしまい、その中にサービスにログインするためのIDとパスワードが含まれていたとしよう。そのデータを入手した人間は、他のサービスにもそのIDとパスワードで不正アクセスを試みようとする。
そのため、さまざまなサービス間で同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。逆に言えば、サービスごとに異なるパスワードを設定しておくことで、パスワードリスト攻撃の被害に遭いづらくなるのだ。
「紙に書いておく」は悪い手ではない
パスワードの使い回しがよくないとして、それでは、どのようなパスワードを設定するのがよいのか。
内閣サイバーセキュリティセンター(NISC)のガイドラインによると、パスワードの定期的な変更は、パスワードの単純化やワンパターン化、複数サービスでの同一パスワードの使い回しなどといったリスクを招くとして推奨されていない(インターネットの安全・安心ハンドブック Ver5.00 第6章)。
パスワードは長く複雑なものがよいが、「p@ssw0rd」のように、アルファベットを記号や数字にするといった自分だけのルールを用意して変換するという手もある。そこに同じようなルールで変換した別の単語を付け加えれば、より強固なパスワードとなる。
ただし「password」というワードは推測されやすいからといって、「password1」「password!」というように記号を付け加えるだけというものは、安易に予測可能とされているので注意しよう。
パスワードをノートなどに書き、保存しておくのも有効だ。ローテクに思えるかもしれないが、物理的な紙に記入しておいた場合、サイバー犯罪では閲覧できず、何らかの手段で「盗み出す」「覗き見する」などをしない限り、所有者以外には確認が困難になる。
「パスワードそのものは書かない」ようにして、自分にしかわからないパスワードを思い出せる情報を書いておくという手段もある。ただ、ノートをわかりやすい場所に置いておいたり、付箋に書いてPCなどに貼り付けておいたりすると、盗み見される可能性がある点には留意したい。
また、ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などもセキュリティとして有効なので、設定しておきたい。
今回は、McAfee Blogから「パスワードの流出と不正アクセスを防ぐための対策まとめ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
パスワードの流出と不正アクセスを防ぐための対策まとめ:McAfee Blog
インターネットが生活に不可欠だからこそ、マルウェア対策を把握することが重要です。デバイスを保護し、ウイルスを削除する方法などをご覧ください。もっとも、あなたがインターネットを長きにわたり使用されている場合は、インターネットには多少のリスクがあることもご存じでしょう。 マルウェア (または悪意のあるソフトウェア) は、デジタル ライフを送るうえでのリスクの1つです。サイバー犯罪者は、感染したWebサイト、無害に見えるメールの添付ファイル、信頼できると思われているアプリケーションやツールを通じてマルウェアを送り込み、あなたの個人情報を盗んで悪用します。ご使用のデバイスが悪意のあるソフトウェアに感染した疑いがある場合は、ご自身を守るためにすぐにそれを削除することが重要です。マルウェアの扱いはやっかいですが、方法はあります。この記事では、マルウェアがデバイスに感染する経路と、その削除方法について説明します。
オンライン上に存在する様々な危険
普段の生活している中でわからないことがあってもすぐにインターネットで検索することで解決したり、SNSを通じて世界中の人と交流できたり、家にいながら映画やドラマが視聴可能など、現代社会に生きる私達はインターネットを通じて様々な恩恵を受けています。しかしながら、同時に常に危険と隣合わせともいえます。サイバー犯罪者は、オンライン上で自分達の利益のためになるような情報を24時間365日探し続けており、インターネットを利用している人の誰もがターゲットとなる可能性があります。下記では、インターネット上に潜む脅威のなかでも代表的なものを紹介します。
マルウェア感染
マルウェアは、ワーム、トロイの木馬、スパイウェア、アドウェア、コンピューターウイルスを含む悪意のあるソフトウェアや悪質なコードの総称です。サイバー犯罪者達によってメールに添付されたマルウェアをクリックしてしまうと、端末やシステムに悪影響を及ぼしたり、データが流出してしまうなどの被害に遭ってしまいます。近年では感染するとデータにロックをかけてしまい、解除代わりに身代金を要求するランサムウェアと呼ばれるマルウェアを利用した事件が世界各地で報告されています。
フィッシング詐欺
フィッシング詐欺は、無作為に電子メールを送りつけ、メール内に添付されたリンクから偽のホームページに接続させるなどの方法で、住所や電話番号をはじめ、クレジットカード番号、ユーザーIDやパスワードなどの各種アカウント情報などの個人情報を盗み出す詐欺行為です。特に大手企業や銀行など社会的に認知度があり、信用性の高い団体を偽って電子メールを送ってくる場合が多いです。
なりすまし
なりすましは、他人になりすまして電話やメールなどで接触を試みてきて騙し、個人情報を聞き出したり、大金を振り込ませようとしてくる行為のことです。近年、日本では遠方に住む子供や孫を装って高齢者にお金を振り込ませるオレオレ詐欺や、SNSで知り合いのアカウントを乗っ取って本人になりすましてアプローチしてくる方法が目立ちます。上記で紹介したフィッシング詐欺でもよく使われる手法です。
フリーWi-Fiに仕掛けられた罠
外出先でWi-Fiが必要な際、カフェや駅など公共のフリーWi-Fiを利用したことがあると思います。しかし、フリーWi-Fiのほとんどはセキュリティ面が脆弱で、サイバー犯罪者達はそれを利用して罠を仕掛けてくる傾向があります。もし、そういったフリーWi-Fiに繋げてしまうと、お使いの端末がマルウェアに感染したり、接続中に入力したパスワード情報などが流出してしまう危険があります。
他人事ではない、パスワード流出トラブル
スマートフォンを通してオンラインショッピングしたり、SNSを通して交流、家族や恋人との大切な写真をクラウドで保管するなど、私達はいつでもどこにいてもオンライン上での様々なサービスを簡単に利用することができるようになりました。日々の生活の中でオンラインバンキングやSNSなどの各種サービスを利用するためには、まずアカウントにログインしなくてはなりません。そこで必要となるのがIDとパスワードによる認証です。IDとパスワードによって、使用する端末や居場所がいつもと異なった場合でも、どこからでもログインし、サービスを利用することができるのです。
一方、そんなID・パスワードが流出してしまうと非常に厄介です。アカウントが乗っ取られたり、保管してあった大切なデータが盗まれたりしてしまう可能性があります。これまで物理的に行なわれていたサービスも、最近は利便性からインターネットに移行するものが増え続けており、それによってより強力なパスワード認証やセキュリティ面での強化の必要性が高まってきています。
2016年5月に、有名女優など芸能人のFacebookやiCloudが次々に不正ログインされて、プライベートな写真が盗み見られるという事件が一斉に報道されました。逮捕された容疑者は芸能人のFacebookやiCloudに合計200回以上も不正ログインしていただけではなく、一般女性のアカウントにも侵入していたことが発覚しました。さらに容疑者のパソコンには1000人分のIDやパスワード、不正に取得した画像が保存されていたといいます。この事件は、犯罪者が名前や生年月日など、公開されている情報からパスワードを容易に特定できてしまうことを痛感した出来事でした。
また、2020年3月3日には、JR東日本が運営するインターネット上で切符を予約可能な「えきねっと」の3729人のアカウントに不正ログインが行われました。これは別なサービスから流出したユーザーの認証情報を利用して同サービスへのログインを試みるリスト型という手口で、不正ログインされたユーザーの氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部等が流出した可能性があります。この事件はサイバー犯罪者がフィッシング攻撃やマルウェアなどで得た個人情報を、他の目的で再利用した事例といえます。
このように一度、IDやパスワードが流出してしまうと誰にも見られたくない情報までもが一般公開されてしまい、半永久的に被害に遭い続ける可能性もあります。特に一般的に認知度の高い著名人は狙われやすい傾向にあり、芸能人のパスワードを高額で取引している裏市場も存在していると言われています。
そして、被害はプライバシーだけにとどまらず、オンラインバンキングへの不正アクセスやクレジットカード情報が盗まれたりした場合、金銭的なダメージにも直結します。警察庁の発表によると、2022年のインターネットバンキングの口座から預金を不正送金する被害額は15億円超にもなり、金融機関などを装ったメールやSMSを使って偽サイトに誘導するフィッシング詐欺による被害が多く、今後より強力な対策が求められているといえます。
パスワードの流出と不正アクセスを防ぐための対策
昨今の日本で起きているような事件に巻き込まれないためにもオンラインセキュリティに関する必要な知識を習得し、オンライン上でのセキュリティをより強固なものにする必要があります。オンラインセキュリティというと一見、専門的で難しいイメージがありますが、自分自身でもできることはたくさんあります。こちらではパスワードの流出や不正アクセスを防ぐために自分自身で実行できる対策を紹介します。
複雑なパスワードを設定する
個人情報を安全に保護するためには、強力なパスワードを設定することが大事です。仮にSNSやオンラインバンキングなど複数のサイトでパスワードを使い回していた場合、たった1つのパスワードがサイバー犯罪者に知られてしまったら、他のサービスのアカウントにも次々と不正アクセスされてしまう危険があります。そうならないための対策としては、それぞれのパスワードをより独自性のあるもの、かつ8桁以上のアルファベットの大文字、小文字、数字、記号など複雑なものを取り入れたものに設定することで最悪の事態を回避することができるでしょう。
多要素認証を設定する
お使いのオンラインサービスのアカウントに多要素認証機能がある場合、必ず利用するようにしましょう。これはログインする際の本人確認として複数の情報を必要することでよりセキュリティを高めます。例えば、ログインする際に入力するパスワードに加えて、スマートフォンに送信されるコードを入力したり、設定したメールアドレスに確認用のメールが届くことによって、セキュリティがより強固なものになります。
VPNを導入する
VPN(Virtual Private Network)は、接続することでインターネット通信を暗号化し、外部への通信内容やパスワードの流出を防ぐことができます。また、VPNサービスプロバイダーが保持する独自のサーバーを経由することでIPアドレスを偽装することができ、本来の居場所を外部に知られる心配がありません。特にカフェや駅など外出先での安全性の低い公共のフリーWi-Fiを利用する際はより効果的といえるでしょう。
自動アップデートを有効にして常に最新の状態を保つ
オンライン上での脅威は常に進化し続けており、それに対応するためにもお使いの端末内にあるアプリやOS、セキュリティ対策ソフトも常時最新の状態を保つことが重要です。また、最新版へのアップデートは手動にすると更新を忘れがちになるので自動で更新するように設定しておきましょう。
SSL化されていないサイトは利用しない
ウェブサイトを閲覧する際、URLが「https」から始まっているかを確認しましょう。もし、「s」がついていない「http」の場合は暗号化されておらず、セキュリティ面が脆弱なため、アクセスしないようにしましょう。また、明らかに日本語が不自然であるサイトや大企業を装った偽サイトもあるので注意しましょう。
面識ない人からのコンタクトは無視する
SNSなどで面識のない人からメッセージが届いた場合は詐欺である可能性があるので無視しましょう。その際にリンクがある場合はクリックするとマルウェアなどに感染する場合があるので絶対にクリックしないようにしましょう。
SNSで投稿する際は細心の注意を払う
SNSで写真や文章を投稿する際は、投稿内容に個人情報が入っていないかどうかをしっかりと確認することが重要です。また、投稿を危険な第三者に見られないためにも投稿範囲を限定することも一つの手といえます。
パスワード管理機能を利用する
上記で説明した複雑なパスワードを全て暗記しておくことは現実的ではありません。パスワードは紙にメモしておくと紛失してしまう可能性があり、パソコンやスマートフォンに保存するとオンライン上に流出してしまうかもしれません。マカフィーが提供するセキュリティサービスにはパスワード管理機能があり、複雑なパスワードを自動生成し、一括管理することが可能です。また、ログインする際にはログイン情報を自動で入力することで入力する手間が省けます。
まとめ
現在、私達は様々なことが急速に変化する時代を生きています。毎年新しい技術が発表され、生活は年々便利になっています。一方でサイバー犯罪の種類と数も増加しており、インターネットに接続している限り、なかなか気が抜けないのも事実です。パスワードの流出に関しては、最も身近で深刻な問題といえますが、上記で紹介した通り、自分自身で防ぐ方法はたくさんあります。特にマカフィーのパスワード管理機能を導入することで、全てのパスワードを覚える手間を省くことができるだけでなく、あらゆるオンラインサービスのログイン情報の安全を保ち続けることができるでしょう。
また、インターネット上の数ある情報の中から、オンラインセキュリティに関する知識を積極的に取り込んで学ぶことで、それぞれに合った対処方法を見出すことができます。最新の流出事件の傾向や新たなテクノロジーの詳細など、常に最新のアンテナを張ることもオンラインセキュリティの変化に対応する上で重要ともいえるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
