J:PLUS
たのしいこと、全力応援

パスワードはしっかり管理しよう!

セキュリティ

ユーザが追加した画像

パスワードが盗まれてしまうと…

ネットバンク(インターネット銀行の口座)や通販サイト、SNS、オンラインゲームといったサービスを利用するには、会員としてログインする必要があります。そのログインに必要となるのがIDとパスワードです。
もし、悪意のある人にこれらが盗まれると不正アクセスされ、自分になりすましてサービスを利用されることで、以下のような被害に遭う可能性があります。

・自分のネットバンクから知らない口座へ勝手に振り込みが行われた。
・クレジットカードを不正利用されて、勝手にショッピングサイトで買い物をされたり、オークションサイトで品物を落札されたりした。
・ネットゲームを勝手に操作された。
・自分名義で、迷惑メールが大量に送信された。
・自分名義で、SNSやブログ、掲示板を使って誹謗中傷を発信されるなど、嫌がらせ行為が行われた。
・ダイレクトメールが頻繁に送られてきたり、商品の売り込みや勧誘の電話がかかってきたり、訪問販売が来たりするようになった。
・詐欺、恐喝、ストーカー被害を受けるようになった。

このように、パスワードが盗まれると、第三者が自分になりすまして迷惑行為を行ったり、金銭的被害を被ったり、さらに情報が売買されて悪用されたりして、多大な被害を受ける恐れがあります。
そのため、パスワードの管理はとても大切なのです。

使ってはいけない危険なパスワード

ネット上の犯罪者たちは、パスワードを盗もうとあの手この手で攻撃をしかけてきます。近年、激増している不正アクセスの被害は、こうした攻撃の結果にほかなりませんが、同時にユーザー側にも問題があります。
それは、危険性を指摘されながらも、安易なパスワードを使い続けたり、使い回したりする人があまりにも多いという現実です。

たとえば、銀行のキャッシュカードやクレジットカードなどを作ったとき、暗証番号に4桁の数字を設定してくださいと言われると、ついつい誕生日や電話番号の下4桁を使ってしまう人が多いようです。
自分の誕生日なら絶対に忘れませんし、電話番号も忘れにくいのですが、誕生日や電話番号は第三者から知られやすい情報のひとつですので、銀行やクレジットカード会社は、暗証番号にこうした数字を使わないように注意喚起をしています。

これはネット上でも同じことで、SNSなどで誕生日を公開している人も少なくないので、これをパスワードに設定するのはかなり危険です。
そのほか、初期パスワードのまま、アカウント名と同じものや、性や名前そのまま、車のナンバー、住所の一部、アカウントや姓名と誕生日や電話番号を組み合わせたもの、同じ数字の連続や連番など規則性のある数字、同じ文字の連続、キーボードの配列そのままなども、推測されやすく大変危険だということを覚えておきましょう。

危険なパスワードの例
・初期パスワードのまま
・ユーザー名やアカウント名と同じ
・姓や名前そのまま
・車のナンバー
・都道県名など住所の一部
・ユーザー名に数字を加えたもの
・規則的な数字や英字
・キーボードの配列の一部

また、よく使われるパスワードは大変危険です。というのは、サイバー犯罪者の攻撃手段のひとつに「よく使われるパスワードを入れてみる」という方法があるからです。そこで、ここでは、世界中でよく使われている「ありふれたパスワード」をチェックしていきましょう。

いろいろなデータがありますが、ここではパスワード管理アプリを開発する米国の「Splash Data社」が集計した、2016年にもっとも使われた「最悪のパスワードトップ25」のランキングで見ていきます。

最悪なパスワードの1位は「123456」でした、こうした数字の並びは大量にランクインしており、大勢の人が使っていることがわかります。
また、2位の「password」11位の「login」のような直球タイプも含め、単純な「単語」だけのパスワードも大量にランクインしました。
つまり、こうしたパスワードは絶対に使ってはいけない最悪のパスワードと言って良いでしょう。

強固なパスワードの作り方

ユーザが追加した画像 パスワードで最も強固なものは、英字と数字を組み合わせたランダムな文字列でできるだけ長いものですが、それでは覚えにくいうえ入力も大変で実用的ではありません。
そこで、ある程度の法則性を持たせつつ、推測されにくいものにする必要があります。

具体的には、覚えやすい単語に数字を組み合わせるのですが、たとえば「JCOM2016」「2016JCOM」といった「単語+数字」「数字+単語」という組み合わせでは、あまり効果がありません。
この場合、「J2016COM」といったように単語の間に数字を挟むと効果的です。
さらに、「J2C0O1M6」といったように英字と数字を交互にすることで、より強固になります。

ただし、8文字は最低ラインなので、これに「ZAQ」を加えて「J2C0O1M6ZAQ」とします。そして、英字と数字だけの組み合わせでは弱いので、一部を小文字にして記号を加え「J2C0O1M6@Zaq」としましょう。

これで12文字の覚えやすく強固なパスワードができましたが、同じパスワードを複数のサイトで使い回すのは非常に危険です。そこで、サービスごとに名称などをパスワードに加えます。
たとえば、Gmailなら「J2C0O1M6@ZaqGmail」といった具合です。
万が一に備えて、付け加える文字列は前にしたり、略称にするなど変化をつけたりして、推測されないように工夫してください。

強固なパスワード作るための5箇条
・カンタンに推測できる情報をパスワードに使わない
・出来るだけ長くすること(最低8文字以上)
・連続した数字や単純な文字列を使わない
・大文字、小文字、数字、記号など、使える文字種はすべて使う
・複数の文字種をランダムに使うこと

強固なパスワードを作ったら、可能な場合は「2段階認証」も設定してください。2段階認証とは、アカウントのIDとパスワードを入力した後、再度、認証が必要になる仕組みのことです。

この2段階目の認証には様々な方法がありますが、一般的には携帯電話にSMSで送信されるワンタイムパスワードの入力が必要で、携帯電話を盗む以外の方法で破ることができません。
ワンタイムパスワードはその都度変更され、さらに有効時間もあるため、仮にパスワードが破られてしまっても不正アクセスされるリスクを大幅に軽減することができます。
多くのサイトで2段階認証が導入されていますので、セキュリティ強化のために、設定することを強くオススメします。

ただし、利便性は下がるので、ネットバンク、通販サイト、Webメールなど、不正アクセスされると被害が大きいもののみ2段階認証を設定するという方法でもよいでしょう。

パスワードはこうして盗まれる

ユーザが追加した画像 ネット上の犯罪者は、どうやってパスワードを盗むのかも知っておきましょう。敵の手口を知ることで、対策も立てやすくなります。攻撃方法にはたくさんの種類がありますが、個人がターゲットの場合、よく使われる5つの方法について解説していきます。

ショルダーハック(覗き見)
パスワードを打ち込んでいるところを、背後から肩越しに見て盗み取る「ショルダーハック」という古典的な手法があります。また、パスワードを書いた紙や手帳を盗み見る手法もあります。

ブルートフォースアタック(総当り攻撃)
総当り攻撃とは、文字通りすべての数字と英字を組み合わせ、総当りで試していく方法です。理論上は試せる回数に上限がなければ必ずパスワードを割り出すことができます。
ただし、現在は複数回認証に失敗するとアカウントが凍結されるサービスがほとんどのため、アカウントヘの攻撃では総当たり攻撃は通用しにくくなっています。

ディクショナリーアタック(辞書攻撃)
最悪なパスワードのところで見てきたように、一般的な「単語」のみというパスワードが驚くほど多く使われています。そこで、攻撃者は辞書にのっている単語を端から試すという攻撃方法も使います。
また、個人情報から使いそうな単語をピックアップする、個人情報、単語、数字を組み合わせてパスワードを類推するといったことも行います。
類推には、後述する危険なパスワード、よくあるパスワードのほか、家族や恋人、友人の氏名、誕生日、出身地、趣味に関するものなど、SNSなどのネット上の情報から取得できるものが使われます。

フィッシングサイト
銀行や各種サービスに成りすましメールを送ってフィッシングサイトという本物そっくりの偽サイトに誘導し、パスワードなどを入力させる方法です。
フィッシングサイトは非常に巧妙にできており、アカウント名からパスワード、暗証番号などが盗まれてしまいます。近年、日本でも被害が急速に拡大しているので注意が必要です。

スマホのアプリ連携
ミニブログやSNSなどをスマホで利用している人は、アプリ連携に注意が必要です。この機能は、ミニブログやSNSのアカウント情報を参照して、アプリから利用できるようにするもので通常の使い方であれば問題はありません。
しかし、犯罪者はこれを悪用してスパムメッセージを送るプログラムを仕込んだアプリと連携させようとします。アプリは、「熱愛」「アダルト」「バーゲン」といった興味を引く内容のメッセージに仕込まれており、うっかりアクセスすると不正アプリをインストールしようとします。
この際、認証画面が表示されるのですが、多くの人が深く考えずに「認証」を押して、アプリを仕込まれてしまいます。身に覚えのないアプリがインストールされようとしている場合は、必ず「キャンセル」してください。

パスワードはしっかり管理しよう!

このように、サイバー犯罪者はパスワードを手に入れようと、あらゆる方法で攻撃してきます。こうした攻撃に対応するために、パスワードはしっかり管理しなければなりません。
それにも関わらず、管理が適当な人が多いのも事実です。これから、よくあるダメな例を紹介しますので、絶対に真似しないでください。

まず、ありがちなのが、ログイン用のパスワードをパソコンのモニター付近に付箋紙などで貼っているケースです。これでは、家の鍵を玄関にぶら下げておくようなもので、誰もがログインできてしまうので意味がありません。
パスワードは誰にも知られてはいけない重要情報と認識してください。
同様に、IDとパスワード一覧をテキストやエクセルのファイルにしてパソコンに保管している人もいますが、万が一このファイルが漏洩したとき、甚大な被害をもたらすので絶対にやめてください。

そして、ATMで暗証番号を入力する際、覗き見されないか周囲を警戒すると思います。
同様に外出先のファストフード店やコーヒーショップなどで、ノートパソコンやスマホを使ってパスワードを入力する際は、周囲の目も気にするようにしましょう。そのほか、電車内なども、後ろから見られていてアカウントとパスワードを盗まれ、不正アクセスされる危険性もあります。
可能性は低いのですが、どこで誰が見ているかわからないので、注意するにこしたことはありません。

ある程度の法則性も持って作成したパスワードでも、アカウントごとに記憶しておくのはなかなか大変です。そこで、小型のメモ帳などの「紙」にまとめて書いて、保管しておきましょう。まとめて書いておくのは、わからなくなったとき、すぐに調べられないと意味がないからです。

しかし、この方法ではメモ帳を見られてしまうと、すべてのパスワードがバレてしまうリスクがあります。そこで、メモの仕方を工夫しましょう。
具体的なパスワードは書かずに、自分だけが理解できるパスワード作成のルールをメモしておくのです。いわば簡単な暗号化です。
こうしておけば、仮にメモ帳を見られても、ルールを知らない人には何のことかわかりません。また、メモした紙は、鍵のかかる引き出しなど、自分しか使えない場所に補完することも重要です。

ただし、どんなにパスワードの管理に注意していても盗まれてしまう可能性はあります。そんなときは、慌てずにまずはパスワードの変更を試みましょう。
パスワードが変更されてしまっていてログインできない場合は、サービスの管理者に連絡して、アカウントを停止してもらいます。

無事、ログインできたら、すぐにパスワードを変更します。そして、ミニブログやSNSなら書き込みやメッセージをチェックして不正なものはすべて削除、不正アクセスを受けたことを書き込んで、家族や友人に注意を促します。
そのほか、銀行の場合は不正な送金がされている場合は銀行に連絡、通販サイトで不正な購入がされていたらショップに連絡するなど、落ち着いて対応していきましょう。

事件性がある場合は、すぐに警察にも連絡が必要です。こうした緊急を要する対応が終わったら、「インターネットトラブル(警察庁)」「国民生活センター」「インターネット・ホットラインセンター」にも、情報提供してください。

この記事の内容はいかがでしたか?あてはまるものを選んで、最後に送信を押してください。
こんな記事が読みたい、という要望があれば積極的に取り上げます。コメントを投稿ください。

Copyright Jupiter Telecommunications Co., Ltd.

トップへ戻る
OK
キャンセル