内閣サイバーセキュリティセンター(NISC)

本文へ

文字サイズ

English

コラムアーカイブ

パスワードの使いまわしの危険性と対処方法を考える

公開日:2022/11/15 想定読者層:消費者 テーマ: パスワード使いまわし

パスワードに関する記事が公開されています。

https://news.mynavi.jp/techplus/article/20221108-2507118/

ポイント:
・国内700名のアンケート結果によると87.6%がパスワードを使いまわしている
・パスワードが漏洩や窃取されると、使いまわしている分だけ影響範囲が大きくなる
・パスワードが漏洩してしまうことを前提に、使いまわしを止め、多要素認証も活用する

◆パスワード使いまわし派が多数

上記の記事よると、2022年10月にセキュリティ企業が実施した国内700名へのアンケートから、87.6%がパスワードを使いまわしているという結果が出ています。全体の半数近くの44.1%が5個以上のサイトでパスワードを使いまわしている結果でした。

我々が利用するインターネット上のサービスは日々増えていきます。利用するすべてのサイトとIDとパスワードを使いまわさずに記憶しておくことは不可能に近いです。そのため、パスワードを使いまわしてしまう人が多いことは理解できます。

しかし、パスワードの使いまわしにはリスクがありますので、ちゃんとリスクを理解して、不正アクセスの被害に遭わないよう対処方法も覚えておきましょう。

◆パスワード使いまわしのリスクを知る

インターネット上のサービスは多種多様であり、さまざまな攻撃にさらされています。例えば、自分が20のサービスを利用しているとして、サービス側のセキュリティ対策も20サービスそれぞれです。あくまでも想像ですが、20もサービスがあれば、利用者が知らない間にどこかのサービスで、外部からの攻撃により情報を窃取される場合もあれば、悪意のある社員が情報を持ち出す場合も考えられます。もしあなたが20のサービスで同じIDとパスワードを使いまわししていた場合、1つのサービスからIDとパスワードが漏洩すると、20サービス分のIDとパスワードが漏洩することになります。

攻撃者はパスワードを使いまわしている人を狙っています。何らかの方法で入手したIDとパスワードのリストを使ってサービスに不正アクセスを試みる「パスワードリスト攻撃」と呼ばれる攻撃があり、この攻撃による不正アクセス被害を公表したサービスをよく見かけます。つまり、攻撃者はさまざまなサービスに対して、入手したパスワードで不正アクセスできないか試みている現状があります。

◆パスワードは必ず漏洩すると想定して対処すべし

自分が利用するサービスの1つからIDとパスワードがいつか漏洩すると想定して、事前に対処しておくことが賢明です。

漏洩を想定したパスワードへの対処は以下の4つです。

①パスワードが漏洩しても影響を最小限(1サービスのみ)にするため、パスワードは使いまわさない
②パスワードの1つが漏洩しても推測されないように法則性が無い文字列にする
③漏洩したIDとパスワードだけではログインされないように、多要素認証に対応しているサービスでは多要素認証を利用する
④記憶に頼らずパスワードはメモしておく、メモは他人に見られることを想定して自分にしかわからない工夫をする

NISCの「インターネットの安全・安心ハンドブック」ver4.20ではパスワードを紙のノートやメモ帳で書き留めておくことを案内しています。覚えられないからと1つのパスワードを使いまわすくらいなら、サービス毎に別のパスワードを作って何かに書き記して安全な場所に保管しておいていただいた方が良く、PCやスマホの機能やアプリを使いこなすのが難しいと思う方には紙媒体が最適解と考えています。もちろん、多要素認証で守られたクラウド連携のメモアプリを使いこなせるのであればそちらの方が強固で便利な場合もあります。自分で最良と思う方法でメモしていただいて構いません。

また、上記のハンドブックには書かれていないのですが、パスワードを書き記したメモも(紙媒体でも電子媒体でも)、紛失や漏洩により他人に見られてしまうことを想定しておくべきです。メモが見られても良いように、自分にしかわからない隠語や変換法則などを取り入れてメモするようにしましょう。もし隠語や変換法則を記憶できないならば、パスワードのメモとは別で記録し保管しておくのが良いでしょう。

隠語としてメモする具体的な方法ですが、例えば、パスワードは「AMAI(甘い)」だけどメモは「さとう」とか連想ゲームのようにすることができます。また、一部のサービスの本人確認に使われる「秘密の質問」を参考に、「生まれた都市」をパスワードに採用するならば、質問の一部「生まれ」とメモに書いておくとパスワードが生まれた「都道府県」か「市区町村」か「番地」か「年」か「干支」かメモを見た人にはわからなくできます。「ペットの名前」をパスワードに採用するなら実際の名前でなく「犬」や「猫」など動物の種類を書いておくなど、自分にしか連想できないように工夫ができます。このようなパターンを多く用意して組み合わせてたり余分な文字を足してパスワードを作り、メモは「AAうまれ22犬#」や「犬99#うまれZZ」のようにします。この方法ならメモを拾った人に実際のパスワードを知られることはありません。身近な人にはこの方法が連想できてしまうなら、連想される答えの2文字目をアルファベット大文字にする(例:生まれは「tOkyo」)など、さらなる工夫もできます。ぜひ自分流の方法を編み出してください。

いまどきはウェブブラウザの自動入力機能やパスワード管理サービスを使うんじゃないの?と思う方もいます。マルウェアやパスワード管理サービスへの攻撃などによりパスワードデータを根こそぎ窃取されるリスクがあります。もちろん利用は自由ですので、さまざまなリスクを理解した上で、多要素認証など組み合わせて、自分にとって最適と考える方法を選択していただければと考えています。

NISCの「インターネットの安全・安心ハンドブック」には、上記の他にもパスワードに関するノウハウや多要素認証について書かれていますので、是非参考にしてください。

ご参考:

NISC「インターネットの安全・安心ハンドブック」ver4.20 P.34から37
https://security-portal.nisc.go.jp/handbook/

▲ このページの先頭へ