IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、簡単なパスワードが原因で、アカウントなどが不正に利用されてしまった事例とともに、IDやパスワードの作成・管理に注意を喚起している。
オークションサイトでアカウントが不正使用される
IPAに寄せられた相談・届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウントを不正に利用された被害が複数あった。調査を行うと、数字だけのパスワードや簡単な英単語によるパスワードを設定していたために、容易にパスワードが見破られて、アカウントを不正に利用されたと推測される事例だ。安易なパスワードの場合、パスワードが簡単に破られる可能性がある。辞書攻撃という、辞書にある単語を使って片っ端から入力する攻撃で、ごく短時間にパスワードを解読されてしまう。
オークションサイトなどでは、アカウントを不正に利用されると金銭的な被害が発生する危険がある。なかには、本人が知らないあいだに大量の商品をオークションに出品されてしまい、その手数料をオークションサイトから請求されるといった被害も発生している。このような被害を防ぐためにも、パスワードの作成・管理には、いっそうの注意が必要があると指摘する。
強いパスワードを作成する
一般的に「強いパスワード」とは、「英字、数字、記号をランダムに組み合わせて、8文字以上」とされている。オークションなどのサービスを提供するWebサイトでも、このような注意事項を目にしたことがあると思う。この理由であるが、どんなパスワードでも、辞書攻撃や総当たり攻撃(辞書に載っている単語ではなく、無作為に文字を組み合わせてパスワードを解読する方法)を使うことで、解読されてしまう危険性がある。
しかし、そのための時間がポイントとなる。解読のために何千年もかかるのであれば、解読できないに等しい。文字数、文字種、桁数などで、パスワードの解読に必要となる時間を計算したものが表1である。CPUはCore 2 Duo T7200 2.0GHzを使用し、すべての組み合わせを生成するための必要時間である。
表1 使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA資料、第08-0-23-133号より引用)
| 使用する文字の種類 | 使用できる文字数 | 最大解読時間 | - | - | - |
|---|---|---|---|---|---|
| 入力桁数 | 4桁 | 6桁 | 8桁 | 10桁 | |
| 英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
| 英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
| 英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
表1をみれば、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度として十分なものが得られる。ただし、8桁以上の長いパスワードであっても、推測しやすいもの(IDと同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせなど)は、解読が容易になる。なるべく辞書に載っていない単語を使用することが望ましい。
パスワードやアカウントの管理
まずは、パスワードであるが文字の種類はできるだけ多く使い、原則8桁以上を設定する。提供されるサービスによっては、制限もあるがなるべく長いパスワードを作成することである。また、長く複雑なパスワードを作成すると、記憶するのが難しくなる。メモなどに記録する場合には、IDとは別に保管することで、見られてもどのIDのものかがわからないようにする。もしくは、パスワード管理ソフトなどを利用してもよいだろう。
さらに、定期的にパスワードを変更することである。破られにくいパスワードでも、長期間利用していると漏洩の危険がある。定期的な変更を行うことでより安全になる。ただし、2、3種類のパスワードの使い回しをしては意味がないので、注意してほしい。
ログイン履歴を確認することも可能ならばしておきたい。利用するサービスによっては、過去のログイン記録を表示可能なものがある。過去のログイン記録を確認し、自分が利用した覚えのないログイン記録があれば、不正なログインが行われた可能性が高い。不正利用を早期に発見することで、被害の拡大を防止できる。不審な記録があれば、直ちにサイト管理者に連絡し、アカウントの利用停止のなどの処置を行うことも忘れてはならない。
また、ネットカフェなど、不特定多数が利用するPCでは、ID、パスワードを入力しないことだ。破られにくいパスワードを設定していても、そのPCにスパイウェアが仕掛けられていたら簡単に盗み出されてしまう。
フィッシング詐欺にも要注意
フィッシング詐欺とは、金融機関(銀行やクレジットカード会社)などを装い、偽のWebサイトに誘導し、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取するものである。巧妙に偽装されたWebサイトが作られる。近年は、金融機関に限らず、オークションサイト、SNSなどでも、個人情報を盗み出す行為が報告されている。金融機関では、メールなどで本人確認、IDやパスワードを問い合わせるようなお知らせを出すことは、ほとんどありえないとしている。まずは、そのようなメールが届いたら疑い、場合によっては、送信元に対し電話で確認を行うなどの手段で、真偽を確認することが望ましい。メールにあるリンク先などを、安易にクリックしないように注意すべきである。
