パスワード使いまわしの危険性

インターネットの発達と共に様々なオンラインサービスが生まれ、便利になった一方、各サービスを利用するにあたり、IDとパスワードといったログイン情報とその管理が必要となります。覚えやすいという理由で、1つのパスワードを複数のアカウントで使用していないでしょうか?本日は、パスワードを使いまわすとどのような危険があるのかをご紹介していきます。

「人気商品」として扱われるパスワード


1つの同じパスワードを、色々なウェブサービスで使いまわしていませんか?もし使いまわしをしているとしたら、クレデンシャル・スタッフィング(Credential Stuffing)攻撃の被害を受ける危険性が非常に高まります。どこか1つのログイン情報さえ入手できれば、他の全てのアカウントも同時に攻撃ができるという「絶好の機会」をサイバー攻撃者達は狙っています。

ログイン情報など、ユーザーの認証に必要な情報を総称して「クレデンシャル(Credential)」と言います。クレデンシャル・スタッフィング攻撃とは、サイバー攻撃者が既に保有しているクレデンシャルを他のアカウントにも総当たりで代入する(Stuffing)方式で、ユーザーの情報を奪う事を指します。

もし、同じパスワードを複数のアカウントで使用していたり、以前使っていたパスワードを再度利用していたりすれば、いつどこで流出したのか分からないクレデンシャルを通じて、サイバー攻撃者が不正ログインに成功する可能性が非常に高くなります。

サイバー攻撃者がクレデンシャルを活用する方法としては、ボットネットの構築、金銭を要求する脅迫(お金を払わなければ、SNSなどへ個人情報を流出させると脅迫する攻撃手段)、アカウントハッキングなどがあります。

また、サイバー攻撃者の活動の場と言われるダークウェブでは、Eメールアカウント情報とパスワードが「人気商品」として扱われています。パスワードがこのように重要なデータである理由は、基本的にユーザーの大部分が同じパスワードを使いまわしている事にあります。

安全なパスワードを設定する為に


1つの同じパスワードを使いまわす危険性をお分かり頂けたでしょうか。クレデンシャル・スタッフィング攻撃の被害者にならないためにも、強力なパスワードの作成、安全な管理が重要です。安全なパスワード設定・管理にあたって、いくつかポイントをご紹介します。

(1)規則性が無い、無作為の文字列にする
最も安全なパスワードとは、長く無作為に羅列された文字と数字の組み合わせです。「最悪のパスワード」と呼ばれるような”123456”、”password”などは絶対に設定しないようにしましょう。また自身の生年月日や、”qwerty”なども危険です。

(2)長さは12桁以上にする
パスワードは、長ければ長いほどその安全性が高まります。最少でも8桁、推奨は12桁以上のパスワードです。その際、色々な文字種(アルファベット大文字・小文字、数字、記号)を組み込めば更に安全性が高まります。

(3)十分な長さがあり、覚えやすい文章で設定する
自身が好きな名言、文章、場所などを活用する方法です。1つだけではなく、2つ組み合わせれば更に強力になります。

(4)パスワード管理ツールを利用する
サービスごとに安全なパスワードを設定すると、どうしてもパスワードを覚えられないという問題が発生します。その際にパスワード管理ツールが活躍します。管理ツールに各サービスのログイン情報を記録させると、ツールから自動でログイン情報を入力できるようになります。管理ツールのマスターパスワードさえ覚えておけば、各サービスのIDとパスワードを覚えておく必要はありません。
パスワード管理ツールには無料のもの、有料のものと様々な種類があります。サービス内容や機能、セキュリティを確認の上、検討しましょう。

(5)最も重要なサービスのパスワードは完全に分ける
業務と関連するサービスのパスワードや、オンラインバンキング・クレジットカードといった金銭に関連するサービスのパスワードなどは個別に設定し、他のものと一切関連しないように設定します。

(6)2段階認証を利用する
ウェブセキュリティ強化の為、最近ではこの2段階認証を採用している企業が増えています。GoogleアカウントやApple ID、Dropbox IDなどで導入されています。

2段階認証とは、通常のID、パスワードの他に、さらに追加で認証を行うものです。ログインを行うと、登録している携帯電話にSMSや電話発信で認証コードが送られてきます。このコードを入力することによって初めて、該当サービスにログインが可能になります。認証コードは1度しか使えないもので、送信される度に変更されます。自分しか持っていないもの=携帯電話に認証コードが送られてくる為、非常に強力な認証方法です。万一、IDやパスワードが流出してしまったとしても、サイバー攻撃者はこの認証コードを知ることができない為、被害を防ぐことができます。

(7)ログイン情報の流出事故が発生したら、すぐにパスワードを変更する
利用しているウェブサービスで情報の流出事故が起きた場合には、すぐにパスワードを変更しましょう。その際、流出したパスワードを他のサービスで使いまわしていないかどうかも確認が必要です。変更せずに放置しておくと非常に危険です。