気をつけましょう!パスワード推測による不正アクセスって、とても多いんですよ!

【この記事はIT系ライター M氏 が書きました】

SNSやショッピングサイト、クラウドサービスといった各種インターネットサービスの多くではユーザーIDとパスワードによる本人認証が行われています。パソコンやインターネットの普及によりインターネットサービスはとても身近なものになりましたが、ユーザーIDやパスワードが悪意のある第三者に知られた場合は、不正にログインされ個人情報の漏洩や金銭の被害などに遭う可能性があります。

不正ログイン被害の典型的な例

「自分のSNSアカウントが不正に利用され意図しない投稿がされた」
「ショッピングサイトから身に覚えのない請求があった」
「ウェブメールにアクセスすることができなくなった」
これらはユーザーIDとパスワードが悪意のある第三者に利用されたことによる不正ログイン被害の典型的な例です。

不正ログイン対策はユーザー自身で行う必要あり!

不正ログイン対策としては、パスワードを推測されにくいものにするのが重要です。被害に遭いやすいパスワードの例としては「自分の名前と誕生日の組み合わせ」「123456というような単純な数字の羅列」「passwordなどの単純な単語」「qwertyのようにキーボード配列をそのまま打ち込む」こういったパスワードは特に危険です。

また単純なパスワードと共に危険なのが複数のインターネットサービスにおいてパスワードを使いまわすことです。
仮に推測されやすい強固なパスワードを用いたとしても、いくつものインターネットサービスで同じパスワードを使用すればそのうちひとつの運営会社が悪意のあるユーザーから攻撃を受けたり、顧客情報の流出事故などを起こした場合、その他のサービスでも同様の事態になることを意味します。

推測されにくいパスワードは「できるだけ長く」「複雑」「使いまわさない」という3つの要素が大切です。
しかし複数のサイトごとにそういったパスワードを用意することは思いのほか面倒で管理の面からも手間がかかります。

そこで、推測されにくく複数サービスでも管理しやすいパスワードの設定・管理方法についてご案内します。

ひと工夫して強固なセキュリティ。コアパスワードを設定しよう!

パスワードは文字だけでなく数字や記号の組み合わせ、さらに大文字小文字まで織り交ぜたものがより強固になります。
また、一部のサービスでは文字だけの組み合わせしか許可していない、制限が設けられているものもあります。
こういった複雑なパスワード設定を要求される点も単純なパスワード設定や使いまわしを防ぐためのひとつの対策といえるかもしれません。

そんな「できるだけ長く」「複雑」「使いまわさない」パスワードの作成・管理方法として【コアパスワードの作成】があります。

コアパスワードの作成手順は
1:まずは自分の趣味や興味のあることから短い文章を決めます。
例:「ご飯が好き」

2:考えた文章をローマ字に変換する。
「ご飯が好き」→「gohangasuki」

3:予め決めたルールを用いて肉付けしていく
ルールA:「助詞を大文字にする」
→「gohanGAsuki」

ルールB:「末尾に記号をつける」
→「gohanGAsuki!!」

ルールC:「末尾に数字をつける。」
→「gohanGAsuki!!07」
数字は好きなアイドルの誕生月やスポーツ選手の背番号など好みのもので。

このようにいくつかの手順で生まれたパスワードは大文字小文字、記号、数字の組み合わせと15文字の桁数もあり推測されにくい強度のあるものになりました。これをコアパスワードとして管理をしていきます。

コアパスワードを使用し各サービスのパスワードを作成する。

こうして作成されたコアパスワードを元に複数のサービスごとに異なるパスワードを作成します。
手順としては各種サービスの名称の略称を識別子としてコアパスワードの先頭に追加します。
例1 google→ggl と略したものを識別子に。
これをコアパスワードの先頭に加え、gglgohanGAsuki!!

例2 Amazon→amz と略したものを識別子に。
これをコアパスワードの先頭に加え、amzgohanGAsuki!!

こうすれば利用するサービスが増えても強固なパスワードを維持することが可能です。
パスワードの管理に関してはコアパスワードは暗記してしまうのが確実ですが、別途紙に書いて保管しておくことも有効です。その際はコアパスワードは日本語表記で記載しておき、 サービスごとの識別子のみ電子的に保管というように別管理にしておけば、万が一、片方が流出したとしても組み合わせがわからない限り不正にログインされることはありません。

「秘密の質問」にもひと工夫。

インターネットサービス登録時に認証方法としし設定することの多い「秘密の質問」。
これにもひと工夫することでセキュリティ強度をあげることが可能です。

例1:好きな果物は?
→リンゴだったハズ

例2:母親の旧姓は?
→鈴木だったハズ

本来の回答に「だったハズ」という独自フレーズを加えるだけで、途端に推測しにくくなります。

各種インターネットサービス提供のセキュリティ機能を利用しましょう。

従来のセキュリティはパスワードのみで行われていましたが、最近では各種インターネットサービスが「2段階認証」を提供している場合があります。

パスワードだけでなく、もうひとつ認証作業を加えてセキュリティを強化しているのが2段階認証です。2段階認証であれば仮にパスワードが流出しても不正ログインを防ぐことが可能です。2段階認証の手段として代表的なのがワンタイムパスワードです。入力するまでの有効期間の短いパスワードをスマートフォンのアプリやメール、ショートメッセージなどに発行します。1段階目のパスワードの入力後にこの2段階目のパスワードを入力することで認証を完了します。

2段階認証が提供されていないサービスも存在します。あるいは設定が必須になっていない場合もあるため設定を行っていないケースもあるとは思いますが、2段階認証はセキュリティレベルを大きく向上させるため、利用可能な場合は積極的に設定を心掛けるようにしましょう。

家庭内のネットワークにも危険が!ネット家電セキュリティのススメ!

パソコンやスマートフォンだけでなく近年でテレビやエアコン、照明器具といった様々なものがインターネットにつながるようになっています。これらの機器はIoT(Internet of Things)機器やネット家電と呼ばれています。
インターネットに繋がる機器が増えたことでセキュリティに関するリスクは増大しています。家庭におけるセキュリティ対策として重要なポイントを見ていきましょう。

インターネットへの玄関口。ルーターの設定にご注意!

ルーターとはわかりやすく言うとインターネットと家庭内の機器を中継する装置で、まさに出入口の役目をしています。ルーターはインターネットへの接続だけではなく、ネットワークプリンタなど家庭内の機器同士の無線LAN通信の中継の役割も持っています。
ルーターは基本的には24時間365日動作しています。常にインターネットに接続した状態にあるため悪意のあるユーザーに狙われやすいという側面も持っています。

自分が知らない間に犯罪に加担?「DDoS攻撃とは!?」

「DDoS攻撃」(ディードス)とは分散型サービス妨害攻撃と呼ばれるもので、攻撃対象となる特定のサーバーに対して無数の端末からアクセスすることで大きな負荷をかけサービス停止に追い込むサイバー攻撃手段です。攻撃の際にはコンピューターウィルスに感染したルーターが乗っ取られ踏み台として利用されることになります。つまり悪意のあるユーザーの犯罪行為に知らない間に加担する形になってしまうということです。

DDoS攻撃にはルーター以外のネットワークにつながる機器が利用される場合もあります。
アメリカでは過去に「MIRAI」というウィルスに感染した様々なインターネット接続機器が大手サーバー運営会社への攻撃に利用されました。結果、TwitterやNetflixなどの有名なサービスを含めた数多くのサイトで大規模なアクセス障害が起きました。攻撃には10万台以上のIoT機器が利用されたそうです。

悪意のあるユーザーの攻撃を防ぐには?

基本的には乗っ取りの被害にあう原因は機器になにかしらの問題があるためです。
ルーターを動作させているソフト(ファームウェア)にセキュリティ上の問題である脆弱性がないかを確認することが必要です。パソコンやスマートフォンであれば脆弱性が発見されればOSのアップデートが行われますが、それ以外の機器についてはファームウェアが自動更新になっていない場合もありますので、手持ちの機器に脆弱性やファームウェアの更新がないか常に注意する必要があります。古い機種の場合など脆弱性の有無がよくわからない場合はメーカーに直接確認するのも大切です。

知らない間にのぞき見される!?ネットワークカメラのIDとパスワードに注意!

離れた場所から家族やペットの様子を確認するためにネットワークカメラを利用する場合は、IDとパスワードに注意が必要です。購入時の初期設定のままで使用していたり単純なパスワードを使用していると悪意のある第三者にカメラの映像をのぞき見される可能性があります。実際に世界中の無防備なネットワークカメラの映像を閲覧可能なサイトが過去に話題になったことがあります。
ネットワークカメラを利用しているが、IDとパスワードを変更した覚えがないという方は、すぐに強固なものに変更するようにしましょう。

まとめ

インターネットの普及により便利なサービスが生まれる一方、パスワードの管理の煩雑さが問題になっています。反面、ユーザー情報の流出などの事故の報道は後を絶ちません。
管理が面倒だからといってパスワード管理をおろそかにすると思いもよらぬところから、不正利用の被害者になる可能性が潜んでいます。安心してインターネットサービスを利用するためにもコアパスワードや2段階認証などひと手間をかけることを心掛けましょう。またルーターやパソコンだけでなくインターネットに接続する機器は、IDとパスワードを初期設定のまま使用することは絶対にやめましょう。

IPA(独立行政法人情報処理推進機構)では、こうした情報セキュリティの脅威に関してわかりやすく動画で解説を行っています。
マイナンバーや取引先の情報の管理など、主に中小企業向け情報セキュリティ対策の基本を解説したものや、新入社員が知っておくべき情報漏えいの脅威など企業向けの解説も充実しています。家庭内でのセキュリティ対策と共にこういった業務に関するセキュリティに関しても併せて備えをしておきたいものですね。

関連リンク

IPA(情報処理推進機構) Youtube チャンネル
https://www.youtube.com/user/ipajp

IPA(情報処理推進機構) 不正ログイン対策特集
https://www.ipa.go.jp/security/keihatsu/videos/20180403-1.html

映像で知る情報セキュリティ ~映像コンテンツ一覧~
https://www.ipa.go.jp/security/keihatsu/videos/index.html