パスワード「使い回し」の危険性

パソコンやインターネット上の様々なサービスを利用する際に用いられる代表的な本人確認の仕組みが、IDとパスワードによる認証です。
アクセスしてきたユーザーが本人であることを証明するために、本人しか知らないIDとパスワードを入力し、認証を行う仕組みです。

サービス事業者などが保管するパスワード情報が大量に漏えいしたというニュースが報じられることがありますが、IDやパスワードなどのログイン情報は、本人であることを証明する重要な情報となります。

■IDとパスワードが他人の手に渡ると何が起こる？
IDやパスワードなどのログイン情報が漏えいすると、誰でも本人になりすますことが可能となるため、ネットショッピングで勝手に商品を購入されたり、インターネットバンキングを通じて別の口座に送金されるといった金銭的な被害に遭う可能性があります。
また、他人にSNSのアカウントにログインされてしまうと、不正なサイトへ誘導したりマルウェアを拡散するような悪意のある投稿をされる(場合によっては犯罪行為に加担させられる)可能性もあります。

こうした機密情報であるパスワードを盗み出そうと、犯罪者が様々な手口を仕掛けてくるかも知れません。

■パスワードの設定、管理は厳重に行いましょう
パスワードの設定は、推測されにくい文字列にすることが大事です。大文字と小文字、数字や記号を混ぜ、可能であればできるだけ長い文字列に設定するようにし、以下のような文字列を設定することは避けましょう。

・辞典に載っている単語や、単語を逆に綴った逆スペリングの単語、よくあるミススペル、省略語など
・「12345678」「222222」「abcdefg」といった連続した文字または繰り返した文字、「qwerty」などキーボード上の隣にある文字、自分の名前や誕生日といった個人情報に関する文字列

また、初期パスワードは必ず変更し、利用するサイトやサービスごとに同一のパスワードを使い回さないことです。

無料でメールアドレスが付与されるサービスなどの中には、メールアカウントにユーザーIDがそのまま使われていることがあります。
この場合、容易に第三者からユーザーIDが推測される可能性がありますので、可能であれば、ユーザーIDかメールアドレスか、どちらかを変更しておくことが推奨されます。

次に、パスワードの管理です。パスワードを書いたメモを、人目に付くところへ貼らないようにしましょう。
場合によっては、手帳など他人に見られない場所に書いて保管することも有効です。
その際は、他の文字を追加するなどして、生のパスワードをそのまま記入しないようにし、書かれたものがパスワードであることが他人から悟られないようにする工夫が必要です。

ID・パスワードを管理できる「パスワード管理ソフト」を利用することも一つの方法です。
パスワード管理ソフトとは、複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できるソフトのことで、当該ソフトを利用するためのマスターパスワードを1つ覚えておけば、その他のパスワードを覚えておく必要がなくなるというメリットがあります。

「パスワード付きのExcelファイルなどに保存する」方法などもあります。

■さらに安全性を高めるために
サービス事業者の中には、アカウントのなりすまし防止のため「二段階認証」を提供しているところがあります。
これは、ユーザー名とパスワードだけではなく、「セキュリティコード」と呼ばれる2つ目の認証コードを利用するもので、より安全な認証が可能になるものです。
サービスに応じて、こうしたものを利用するとよいでしょう。

また、「ショルダーハック」と呼ばれる、肩越しに盗み見ることで、情報を盗み出す手法にも注意が必要です。
これは、パスワードなどを入力する際のキー操作や画面を盗み見て、機密情報を盗み出す手口のことです。
最近では、モバイル機器の普及によってスマートフォンやタブレット、ノートパソコンを持ち歩いて外出先や移動中の電車内などで情報を入力する機会が増えています。
端末のディスプレイに「のぞき見防止フィルム」を貼付したりするなどして他人に画面を見られる危険性を低減する対策などが挙げられます。
そして、電話やメールでID、パスワードを尋ねられても教えないようにしましょう。

最後に、サービス利用時は、ログイン時にID、パスワードを入力する前に、Webブラウザーのアドレスバーのドメイン名を目視確認し、正規のサイトであるかどうかを確認するクセをつけましょう。
そして、メール等の取扱いにも注意し、メールで送られてきたリンクや、SNS等に掲載されているリンクがどんなに魅力的でも不用意にクリックしたり、リンク先で個人情報を入力したりすることのないよう注意しましょう。

そして、マルウェア感染によるパスワード漏えいを防止するため、端末のOSやソフトウェアを常に最新の状態に保つ、最新のセキュリティソフトを導入してパターンファイルを最新に保つ、ブラウザーのプラグインやアドオンは最低限に絞り、最新の状態に保つといった基本的なマルウェア対策を継続することも大切なことです。

不正なログインに気づいた場合は、インターネットサービスのヘルプデスクに相談することや、同じ認証情報を他のサービスで使い回していないかを確認し、他のサービスでも不正なログインがないかを確認しましょう。

株式会社サンロフトでは、安全にインターネット接続が可能となるソリューションをご提案できます。
お気軽にご相談ください。

多様化・悪質化する「偽メール」の手口

宅配便の配達予告通知をまねた「偽メール」が出回っています。
送信元や文面に不審な点はなく一見本物だと信じてしまいそうですが、ウイルスファイル（マルウェア）が添付されています。うっかり開いてしまうと感染し、ネットバンキング情報（銀行サービスサイトのログインIDやパスワード）が盗まれてしまいます。
送りつけられるメールには、振込通知など銀行を装うものや駐車場料金請求をまねたものもあります。いずれも、悪質なファイルが添付されていて、犯人の目的はバンキング情報を盗み出すことです。

「偽メール」の特徴

• 文面が短めになっていることで、日本語の不自然さに気付きにくかったり、つい添付ファイルを開いてしまう可能性が高まるなど、巧妙になってきています。
• メールアドレスは正規のものでそこから送られているように見えますが、偽装されています。詳細にメールヘッダーを検証すると中国から送られた形跡があるとのことですが、送信元アドレス情報だけでは偽装の有無は判断できません。

では、こういった偽メールへの対策としてはどうすればいいのでしょうか？

対策1：添付ファイルは開かない

宅配便通知や銀行から届いた（ように見える）メールでは、添付ファイルを開かないことです。必要な場合には、そのサービスのサイトを調べてアクセスし、ダウンロードするようにします。メール中のURLは信用してはいけません（後述）。

対策2：URLは開かない

怪しいメール内のURLは全く信用できません。クリックしてはいけません。
HTMLメールでは表面上問題ないアドレスに見えても別アドレスに接続するものもあります。

対策3：ウイルス対策ソフトを正しく使用

ウイルス対策ソフトを使用してください。
体験版などではウイルス定義ファイルの更新がストップしてしまっているかもしれません。最新のウイルスにも対応できるよう、定義ファイルの更新がしっかり行われているかも確認してください。

株式会社サンロフトではご紹介できる対策ノウハウを持っています。おすすめできるウイルス対策ソフトもあります。
ぜひ一度、ご相談ください。
https://secure2.sunloft.co.jp/s/info/default.asp

参考資料：

• 【セキュリティ ニュース】「宅配便」「駐車場の支払催促」などバラエティ増す偽メール - 「不正送金マルウェア」を添付：Security NEXT
• ヤマト宅急便の偽メールは銀行ウイルス…１０００件超報告 : 科学 : 読売新聞（YOMIURI ONLINE）
• バンキングトロージャン「Bebloh」感染狙う日本語スパムメールを相次いで確認 | マルウェア情報局