JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
10回目は、リクルートテクノロジーズ サイバーセキュリティエンジニアリング部の清原 悠司氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
パスワードを使い回す理由
これまでの各社の特集記事では、事例や対策について解説いただいています。この記事では、サービス利用者側ができる対策について解説をしていきたいと思います。記事を読み終えて、皆さまが少しでも「試してみようかな」と思っていただければ幸いです。
サービス利用者がパスワードを使い回してしまう理由については、2014年に情報処理推進機構とJPCERT/CCがアンケート調査の結果を発表しています。
上位3つの理由を挙げてみると「パスワードを忘れてしまうから」「複数のパスワードを管理するのが手間だから」「1つのパスワードを利用していると簡単だから」となっています。
平たく言えば、「覚えられないし面倒くさい」ことが大きな理由になっていると思います。現在、ネットバンキングやSNS、ネットショッピング、はては行政手続まで、あらゆるサービスがウェブサービスとして提供されており、そのほとんどがIDとパスワードによる認証となっています。
多い方では100を超えるサイトに登録しているのではないでしょうか。その中で「英字の大文字・小文字、数字や記号を混ぜ、8文字以上の長く、辞書に載っていない文字列」をそれぞれ別のパスワードとして、すべてのサイトに適用して覚えるのはかなり無理があります。
サービス提供事業者とサービス利用者双方の対策が必要
サイトごとに異なるパスワードの使用が面倒とは言え、やはりパスワードは本人であることを証明するための大切な情報であり、これが破られると個人情報の漏えいや金銭的被害、なりすましなど深刻な被害を受ける可能性があります。
こうした事態を防ぐためには、パスワードの使い回しを避けることがポイントとなります。
サービス提供事業者もパスワードリスト攻撃の対策として、攻撃を検知するための仕組みを導入する対策を行っていますが、攻撃を行う側もその対策を回避するような手段を講じ、いたちごっこになっています。
このように、サービス提供事業者による対策だけでは限界があります。こうした取り組みを知っていただいたうえで、サービスを利用者されている皆さまにも使い回しをやめることに協力いただき、より安全にサービスを利用していただきたいと考えています。
サービス利用者ができる対策
「STOP!! パスワード使い回し!!」と言われてもサービス利用者としては前述したように「覚えられないし面倒くさい」という気持ちが大きいと思います。そこで、サービス利用者側の負担が少しでも軽くなるようなパスワード管理方法をご紹介します。
- パスワード管理ソフトの利用
パスワード管理ソフトとは、複数のWebサービスのIDとパスワードを一元管理してくれるソフトウェアです。
事前に決めたマスターパスワードを1つだけ覚えておけば良いため、長くて複雑なパスワードを使い回すことなく、複数のWebサービスで利用できます。現在では無料から有料のものまでさまざまなソフトウェアが存在します。下記のとおり、Windows/MacOS/iOS/Androidなどのマルチデバイス対応や、ブラウザの拡張機能が提供されているソフトウェアも存在するため、ご自身にあったソフトウェアを見つけて使ってみてはいかがでしょうか。
- 独自のパスワード作成ルール
もう1つは、安全なパスワードと言われる下記の条件を満たす、「自分だけがわかるパスワード作成ルール」を決めて、Webサイトごとに別のパスワードを使用する方法です。
英字の大文字・小文字、数字や記号を混在
8文字以上の長さ
辞書に載っていない文字列
最初に、ベースとなる文字列を決めましょう。
ここでは「recruit」という文字列を使うことにします。このままでは8文字以下で辞書にも載っている文字列ですのでパスワードには使えません。
下記のルールで複雑なパスワードにします(ここでのルールはあくまで例ですので、覚えやすいルールなどを自由に決めて下さい)。
ローマ字読みに置き換える→rikuruto
音を数字や記号に置き換える→ri9ru~10
iを!に置き換える→r!9ru~10
文字列を逆にする→01~ur9!r
言葉としては通用しない、何だか強そうなパスワードになってきました。使い回しを避けるため、次にウェブサービスごとに異なるパスワードとなるルールを追加します。
上の項目で決めたベース文字列にWebサービス名を付け加えてみましょう。じゃらんの場合、「01~ur9!r+jalan」といった具合です。しかし、このままではWebサービスが文字列にくっついてしまっているので少し不安です。そのため、Webサービス名の部分を、キーボードの右隣の文字に変換するといった対策もとってみましょう(例:jalan => kslsm)。
これらの対策により、「01~ur9!r+ kslsm」という第三者からするとランダムな文字列で強いパスワードになります。
紙へのメモ
インターネットを使用する物理的な環境によっては、紙に書いて管理するほうが、かえってアカウントリスト攻撃に対しては有効な場合もあります。
情報セキュリティに関する研修や講習などで「パスワードは紙に書いてはいけない」と学ばれた方にとっては少々衝撃的かもしれませんが、アカウントリスト攻撃の出現によりパスワードを使い回すリスクのほうが相対的に高まってきています。
自宅など、メモに書かれたパスワードが人の目に触れない環境であれば、ネット上にいる攻撃者に盗み見られる危険もありませんので、パスワードの使い回しや弱いパスワードを使用するよりはセキュアな方法ではないかと考えられます。
ただし、繰り返しにはなりますが、人の目に触れない物理的環境が前提条件となります。
もし、自宅内に保管したメモを第三者に見られてしまう可能性を気にするのであれば、まずはホームセキュリティを先に見直したほうが良いかもしれません。
この記事では、パスワードの管理負担を軽くする方法をいくつか紹介させていただきました。この機会にパスワードの使い回しの危険性について考えていただき、ご自身で工夫した安全なパスワードの設定・管理をしていただければ幸いです。
著者プロフィール清原 悠司(きよはら ゆうじ)
2011年にSIer企業へ入社後、セキュリティ部門にて主にWebアプリケーションの脆弱性診断業務に従事。
リクルートテクノロジーズ
サイバーセキュリティエンジニアリング部
現在はリクルートテクノロジーズで、インシデントレスポンス業務や自社システムのセキュリィ向上に向けた脆弱性診断の推進などを行っている。