毎年5月の第1木曜日、つまり2025年5月1日は「世界パスワードの日」だ。
パスワード管理サービスを手掛ける米Keeper Securityの調査レポート(2024年サイバー攻撃対策の未来)によると、パスワード攻撃は、急速に増加している脅威のトップ5に入るという。今なおパスワードは、企業と個人のデータ漏えいにおける、一般的な要因となっている。
ここでは、総務省が公開する「国民のためのサイバーセキュリティサイト(以下、同サイト)」の情報を基に、安全なパスワードやその扱い方についておさらいする。
国民のためのサイバーセキュリティサイト
安全なパスワード、危険なパスワードはどんなもの
安全なパスワードの要件を具体的に定義すると、「他人に推測されにくく」「機械的な処理でも割り出しにくいもの」と言える。
総務省サイトでは、「ある程度長いランダムな英数字の並びが好ましい」としつつ、覚える必要のあるパスワードでは、「文章にならない無関係な単語をつなげる」ことや、「その間に数字列を挟む」ことで、推測されにくく、覚えやすいパスワードを作ることができると案内する。
逆に危険なパスワードとして、以下の5つのパターンを挙げる。
・IDと同じ文字列
・自分や家族の名前、電話番号、生年月日
・辞書に載っているような一般的な英単語ひとつだけ
・同じ文字の繰り返しやわかりやすい並びの文字列
・短すぎる文字列
なお、セキュリティ企業であるNord Securityが公開した、2024年の「日本企業で最も使われたパスワード」のランキングは、1位が「password」(4426回)、2位が「12345678」(3036回)、3位が「123456789」(2166回)であった。このような危険なパスワードが企業でも使われているのが現状であり、あらためてこれらのパターンが使用されていないかをチェックする必要があるだろう。
Nord Securityのパスワードランキング
パスワードの保管方法にも注意
せっかく安全なパスワードを設定しても、パスワードが他人に漏れて(知られて)しまっては意味がない。同サイトでは、パスワード保管時の留意点として、以下を挙げている。
・パスワードは、同僚等の第三者に教えずに、秘密にすること
・パスワードを電子メールでやりとりしないこと
・パスワードのメモを、ディスプレイなど他人の目に触れる場所に貼らないこと
・やむを得ずパスワードをメモした場合は、鍵のかかる机や金庫など安全な場所で保管すること
また、「覚える」必要をなくすため、OSやブラウザ、専用ツールが提供するパスワードの一括管理機能の活用も推奨している。もちろん、これらのツールを利用する際は、充分に安全なマスターパスワードやデバイスのロック機能(生体認証など)で、厳重に保護する必要がある。
パスワードを複数サービスで使い回さない(ただし定期変更は不要)
パスワードはできる限り、複数のサービスで使い回さないようにする必要がある。なぜなら、サービスから流出したアカウント情報から、他サービスへの不正ログインを試す攻撃手法が一般化されているからだ。
また、利用するサービスによっては、パスワードの定期変更を求められることもあるが、同サイトでは、「実際に流出した事実がない場合は、パスワードを変更する必要はない」と案内する。むしろ定期変更を義務づけると、パスワードの使い回しやパターン化が進むおそれがある。それよりも、使い回しではない「固有のパスワード」を設定することが重要だ。
これまで、パスワードは定期変更するものという考えが一般的ではあったが、内閣サイバーセキュリティセンター(NISC)からも、「パスワードを定期変更する必要はない」という見解が示されており、長年の慣行を変えていくタイミングだろう。
なお、GMOインターネットグループの「GMOセキュリティ24」など、自分のメールアドレスから、それとひもづけられたパスワードが漏えいしていないかどうかをチェックするサービスもある。一度試して、実際に流出していた際には、パスワードを安全なものへと設定し直してほしい。
GMOセキュリティ24(https://www.gmo.jp/security/)
本記事はアフィリエイトプログラムによる収益を得ている場合があります
