毎年5月の第1木曜日、つまり2025年5月1日は「世界パスワードの日」だ。
パスワード管理サービスを手掛ける米Keeper Securityの調査レポート(2024年サイバー攻撃対策の未来)によると、パスワード攻撃は、急速に増加している脅威のトップ5に入るという。今なおパスワードは、企業と個人のデータ漏えいにおける、一般的な要因となっている。
ここでは、総務省が公開する「国民のためのサイバーセキュリティサイト(以下、同サイト)」の情報を基に、安全なパスワードやその扱い方についておさらいする。
国民のためのサイバーセキュリティサイト
安全なパスワード、危険なパスワードはどんなもの
安全なパスワードの要件を具体的に定義すると、「他人に推測されにくく」「機械的な処理でも割り出しにくいもの」と言える。
総務省サイトでは、「ある程度長いランダムな英数字の並びが好ましい」としつつ、覚える必要のあるパスワードでは、「文章にならない無関係な単語をつなげる」ことや、「その間に数字列を挟む」ことで、推測されにくく、覚えやすいパスワードを作ることができると案内する。
逆に危険なパスワードとして、以下の5つのパターンを挙げる。
・IDと同じ文字列
・自分や家族の名前、電話番号、生年月日
・辞書に載っているような一般的な英単語ひとつだけ
・同じ文字の繰り返しやわかりやすい並びの文字列
・短すぎる文字列
なお、セキュリティ企業であるNord Securityが公開した、2024年の「日本企業で最も使われたパスワード」のランキングは、1位が「password」(4426回)、2位が「12345678」(3036回)、3位が「123456789」(2166回)であった。このような危険なパスワードが企業でも使われているのが現状であり、あらためてこれらのパターンが使用されていないかをチェックする必要があるだろう。
Nord Securityのパスワードランキング
パスワードの保管方法にも注意
せっかく安全なパスワードを設定しても、パスワードが他人に漏れて(知られて)しまっては意味がない。同サイトでは、パスワード保管時の留意点として、以下を挙げている。
・パスワードは、同僚等の第三者に教えずに、秘密にすること
・パスワードを電子メールでやりとりしないこと
・パスワードのメモを、ディスプレイなど他人の目に触れる場所に貼らないこと
・やむを得ずパスワードをメモした場合は、鍵のかかる机や金庫など安全な場所で保管すること
また、「覚える」必要をなくすため、OSやブラウザ、専用ツールが提供するパスワードの一括管理機能の活用も推奨している。もちろん、これらのツールを利用する際は、充分に安全なマスターパスワードやデバイスのロック機能(生体認証など)で、厳重に保護する必要がある。
パスワードを複数サービスで使い回さない(ただし定期変更は不要)
パスワードはできる限り、複数のサービスで使い回さないようにする必要がある。なぜなら、サービスから流出したアカウント情報から、他サービスへの不正ログインを試す攻撃手法が一般化されているからだ。
また、利用するサービスによっては、パスワードの定期変更を求められることもあるが、同サイトでは、「実際に流出した事実がない場合は、パスワードを変更する必要はない」と案内する。むしろ定期変更を義務づけると、パスワードの使い回しやパターン化が進むおそれがある。それよりも、使い回しではない「固有のパスワード」を設定することが重要だ。
これまで、パスワードは定期変更するものという考えが一般的ではあったが、内閣サイバーセキュリティセンター(NISC)からも、「パスワードを定期変更する必要はない」という見解が示されており、長年の慣行を変えていくタイミングだろう。
なお、GMOインターネットグループの「GMOセキュリティ24」など、自分のメールアドレスから、それとひもづけられたパスワードが漏えいしていないかどうかをチェックするサービスもある。一度試して、実際に流出していた際には、パスワードを安全なものへと設定し直してほしい。
GMOセキュリティ24(https://www.gmo.jp/security/)
