2016年8月22日

パスワード「使い回し」の危険性


パソコンやインターネット上の様々なサービスを利用する際に用いられる代表的な本人確認の仕組みが、IDとパスワードによる認証です。
アクセスしてきたユーザーが本人であることを証明するために、本人しか知らないIDとパスワードを入力し、認証を行う仕組みです。

サービス事業者などが保管するパスワード情報が大量に漏えいしたというニュースが報じられることがありますが、IDやパスワードなどのログイン情報は、本人であることを証明する重要な情報となります。

■IDとパスワードが他人の手に渡ると何が起こる?
IDやパスワードなどのログイン情報が漏えいすると、誰でも本人になりすますことが可能となるため、ネットショッピングで勝手に商品を購入されたり、インターネットバンキングを通じて別の口座に送金されるといった金銭的な被害に遭う可能性があります。
また、他人にSNSのアカウントにログインされてしまうと、不正なサイトへ誘導したりマルウェアを拡散するような悪意のある投稿をされる(場合によっては犯罪行為に加担させられる)可能性もあります。

こうした機密情報であるパスワードを盗み出そうと、犯罪者が様々な手口を仕掛けてくるかも知れません。

■パスワードの設定、管理は厳重に行いましょう
パスワードの設定は、推測されにくい文字列にすることが大事です。大文字と小文字、数字や記号を混ぜ、可能であればできるだけ長い文字列に設定するようにし、以下のような文字列を設定することは避けましょう。

・辞典に載っている単語や、単語を逆に綴った逆スペリングの単語、よくあるミススペル、省略語など
・「12345678」「222222」「abcdefg」といった連続した文字または繰り返した文字、「qwerty」などキーボード上の隣にある文字、自分の名前や誕生日といった個人情報に関する文字列

また、初期パスワードは必ず変更し、利用するサイトやサービスごとに同一のパスワードを使い回さないことです。

無料でメールアドレスが付与されるサービスなどの中には、メールアカウントにユーザーIDがそのまま使われていることがあります。
この場合、容易に第三者からユーザーIDが推測される可能性がありますので、可能であれば、ユーザーIDかメールアドレスか、どちらかを変更しておくことが推奨されます。

次に、パスワードの管理です。パスワードを書いたメモを、人目に付くところへ貼らないようにしましょう。
場合によっては、手帳など他人に見られない場所に書いて保管することも有効です。
その際は、他の文字を追加するなどして、生のパスワードをそのまま記入しないようにし、書かれたものがパスワードであることが他人から悟られないようにする工夫が必要です。

ID・パスワードを管理できる「パスワード管理ソフト」を利用することも一つの方法です。
パスワード管理ソフトとは、複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できるソフトのことで、当該ソフトを利用するためのマスターパスワードを1つ覚えておけば、その他のパスワードを覚えておく必要がなくなるというメリットがあります。

「パスワード付きのExcelファイルなどに保存する」方法などもあります。

■さらに安全性を高めるために
サービス事業者の中には、アカウントのなりすまし防止のため「二段階認証」を提供しているところがあります。
これは、ユーザー名とパスワードだけではなく、「セキュリティコード」と呼ばれる2つ目の認証コードを利用するもので、より安全な認証が可能になるものです。
サービスに応じて、こうしたものを利用するとよいでしょう。

また、「ショルダーハック」と呼ばれる、肩越しに盗み見ることで、情報を盗み出す手法にも注意が必要です。
これは、パスワードなどを入力する際のキー操作や画面を盗み見て、機密情報を盗み出す手口のことです。
最近では、モバイル機器の普及によってスマートフォンやタブレット、ノートパソコンを持ち歩いて外出先や移動中の電車内などで情報を入力する機会が増えています。
端末のディスプレイに「のぞき見防止フィルム」を貼付したりするなどして他人に画面を見られる危険性を低減する対策などが挙げられます。
そして、電話やメールでID、パスワードを尋ねられても教えないようにしましょう。

最後に、サービス利用時は、ログイン時にID、パスワードを入力する前に、Webブラウザーのアドレスバーのドメイン名を目視確認し、正規のサイトであるかどうかを確認するクセをつけましょう。
そして、メール等の取扱いにも注意し、メールで送られてきたリンクや、SNS等に掲載されているリンクがどんなに魅力的でも不用意にクリックしたり、リンク先で個人情報を入力したりすることのないよう注意しましょう。

そして、マルウェア感染によるパスワード漏えいを防止するため、端末のOSやソフトウェアを常に最新の状態に保つ、最新のセキュリティソフトを導入してパターンファイルを最新に保つ、ブラウザーのプラグインやアドオンは最低限に絞り、最新の状態に保つといった基本的なマルウェア対策を継続することも大切なことです。

不正なログインに気づいた場合は、インターネットサービスのヘルプデスクに相談することや、同じ認証情報を他のサービスで使い回していないかを確認し、他のサービスでも不正なログインがないかを確認しましょう。

株式会社サンロフトでは、安全にインターネット接続が可能となるソリューションをご提案できます。
お気軽にご相談ください。