危険!パスワードの使い回し
個人情報を守るパスワードの強化
いま、私たちの個人情報は、何百もの企業やマーケティング会社、銀行、オンラインサービスのデータベースに掲載されており、その安全性が日々脅かされています。これらのオンラインサービスでは、今なおパスワードが主な認証手段となっていますが、驚くほど多くの人が単純なパスワードを設定し、その上すべてのサイトで使い回しています。その結果、サイバー犯罪者は狙った相手のパスワードを1つ解読すれば、すべてのサービスにログインすることが可能になります。
今や5億人を超えるFacebook利用者のログイン情報を狙ったサイバー犯罪も世界中に蔓延しています。パスワードの強化は、私たちにできる最も有効かつ簡単な犯罪対策の一つです。今回は、サイバー犯罪の被害事例とともに、安全なパスワードの作り方をご紹介します。
安易なパスワードがサイバー犯罪を招く
【事例1】マイレージカードのサイトを不正利用
逮捕までの約2年間、犯人は被害者のマイレージポイントを自分の通販サイトで利用できるポイントに変換して商品を購入していました。その額66万円。被害者と面識があった犯人は、住所や生年月日からパスワードを推測し、マイレージ会員番号を巧みに入手したうえで、被害者のオンラインサービスにログインしていたのです。
事件は、犯人が自分の利用しやすいようにパスワードの設定を変更したことから、被害者が自分のサイトにログインできないことに気づき発覚しました。
●POINT
パスワードの入力桁数が4桁の場合、最も高い確率で「誕生日」が使用されています。今回のケースでは、マイレージサービスを提供している会社が被害を負担したとのことですが、ユーザーアカウント認証に関するトラブルでは、自己管理にかかわるとして、ユーザーが責任を負うサービスも数多く存在します。ユーザーアカウントの管理は、パスワードを強化するなど不正利用に遭わないよう自ら対策を施す必要があります。
【事例2】パスワードクラッキングによるPCの悪用未遂
ある企業でPCのユーザーアカウントが解読されました。
サイバー犯罪者は、そのPCのユーザーIDとパスワードを解読し、遠隔操作できるプログラムと外部のPCが攻撃できるツールをシステムに仕込みました。その時点では、まだシステム管理ユーザーのパスワードは奪われていませんでしたが、管理権限を奪うためのツールも併せて導入されていました。
外部への直接的な被害は公開されていませんが、もし乗っ取られたPCが外部PCを攻撃し、その標的となったシステムが停止してしまっていたら、業務停止による被害は甚大なものになっていたでしょう。当然、違法なアクセスとして訴訟問題になる可能性もあります。
●POINT
このケースは、企業のPCがサイバー犯罪者によりリモートでパスワードが解読され、被害者自身が攻撃者であることを分からないようにプログラムを仕込まれたものです。企業なら、ネットワークを使ったサイバー攻撃から自社を守るための対策を講じているケースが多く早急な対処も可能ですが、個人ユーザーが狙われた場合はどうでしょう。多くのユーザーは自分が攻撃を受けていることすら気づかないケースが大半であると推測されます。安易なパスワードは攻撃者の格好の餌食となり、被害者でありながら加害者にもなる危険性をはらんでいるのです。
安全で覚えやすいパスワードの作り方
パスワードは、今後もインターネットサービスの主要な認証手段であり続けると考えられますから、他者から推測されにくい安全なパスワードを設定する必要があります。基本的には、英語の大文字と小文字、数字、記号を組み合わせ、少なくとも8文字以上使用することです。
自分が覚えやすく、他人から推測されにくいパスワードを作る有効な手段が、「パスワード生成のアルゴリズム」です。パスワードを作る手順などについて自分だけの秘密のルールを作っておけば、それを覚えておけばよいので、パスワード自体を覚える手間が大きく軽減されます。例えば、自分しか知らないキーワードを決め、アクセスするWebサイト固有の情報を加え、特殊文字などを組み合わせれば、アルゴリズムは見破られません。
いまもし、あなたが同じパスワードを使い回しているとしたら、その利用状況をきちんと把握するとともに、自分だけのオリジナルのアルゴリズムを作り、パスワードの設定変更を行ってください。
パスワード作成時の注意点
パスワードを作る際には、まず自分が思いつく言葉は他人も思いつく可能性があることを意識し、次の点に気を付けてください。
- 名前や誕生日など推測可能な情報から設定しない
- 自分だけのアルゴリズムを作成する
- 定期的にパスワードを変更する
- パスワードの入力時には暗号化通信を利用する
- アカウントごとに異なるパスワードを作成する
「%tGbhU8iK<lp-」これは覚えにくいように見えますが、キーボードをパレットにして文字の「W」を表現しています。選択するキーをずらせば定期的に変更もできます。ここでは分かりやすく「W」を例にしましたが、自分だけの秘密のアルゴリズムを決めれば、覚えやすく推測されにくいパスワードを定期的に作ることができます。
McAfee Labs東京 主任研究員 本城信輔
安全性の高い複雑なパスワードを作成して覚えることは、非常に面倒なことです。常に記憶しておき頻繁に使用するものなので、できるだけ単純にしたり、同じパスワードを使い回したりしている方も多いでしょう。しかし、それは大きな間違いです。個人情報はサイバー犯罪者の市場で非常に人気のある商品であり、彼らはユーザーの個人情報を盗み出すためのあらゆる方法でパスワードの入手を企みます。セキュリティの技術がいかに高度化しようと、パスワードの安全性を高め適切に運用することは、自分の個人情報を守るための最も基本的で重要な対策の一つです。パスワードの設定には十分配慮しましょう。