Huffpost Japan

複雑なパスワード、定期的な変更も意味がない!?――パスワードの使い回しが全てを台無しに

投稿日: 更新:
PASSWORD
BERLIN, GERMANY - AUGUST 08: Symbol of a secure website, https, on a computer screen on August 08, 2014, in Berlin, Germany. (Photo by Thomas Trutschel/Photothek via Getty Images)***Local Caption*** | Thomas Trutschel via Getty Images
印刷

■あなたは大丈夫?パスワードの使い回しが招く脅威

セレブたちの恥ずかしいプライベート写真が流出!?――最近そんな衝撃的な見出しを目にした人も多いだろう。意識する、しないに関わらず、写真のような大切なデータをオンラインサービスに保存している私たちにとって、このニュースは決して他人ごとではない。

流出元となったiCloudについての調査でAppleは「iCloudのシステムが破られたのではない」と発表している。では、何が原因だったのだろうか。パスワードの使い回しがその理由の1つだったといわれている。

登録するサービスごとにパスワードをいくつも作成すると「覚えるのが大変」「管理が面倒」という理由から、およそ93%の人が同じパスワードをさまざまなサービスで使い回しているという(トレンドマイクロ調べ)。加えて、サービスごとに固有のID(ユーザ名)を作成した以前に比べて、最近では登録用EメールアドレスをそのままIDとして利用することが多くなってきた。

sc1

つまり、同じID(Eメールアドレス)、使い回しているパスワードの組み合わせでいくつものサービスに登録する人が増えた。このことはいずれかのサービスでIDとパスワードの組み合わせが流出すれば、ほかのサービスでも第三者が容易にアクセスできてしまうことを意味する。

海外の著名人では、Eメールアドレスを公開している人も多いため、攻撃者にとっては恰好の標的になってしまったのではないだろうか。

あなたのEメールアドレスも、IDとしてさまざまなサービスに登録されているはずだ。名刺にメールアドレスを書いていない人の方が現在では少数派だろう。DropboxやEvernoteのようなクラウドサービスの利用も一般的になってきた。ビジネス・プライベートに関わらず、さまざまな情報をそこに保管して活用している人も多いはずだ。もし、パスワードがどこかで漏れてしまったら、それだけであなたに関する情報が丸裸になってしまうも同然。攻撃者にとっては、実に「攻撃しがいのある」時代になってしまっているのだ。

■悪人だって、「費用対効果」を考える

ところで、彼ら(攻撃者・悪意を持つ第三者)はなぜそのような攻撃を仕掛けてくるのだろうか。スキャンダルを楽しむためだろうか。それとも自分たちの仕組んだことがニュースとして取り上げられるのを狙った愉快犯なのだろうか。

さまざまな理由があるかもしれないが、その最大のものについてトレンドマイクロ社ビジネスマーケティング部マーケティング戦略部コアテク・スレットマーケティング課シニアスペシャリスト 森本純氏はこのように語る。「彼らの最終目標は金銭を奪って利益を得るということです。これを忘れないようにしてください」

ネット犯罪の被害総額は増加傾向にある。インターネットバンキング1つとってみても2013年には約14億600万円だった被害額が2014年上半期だけで、約18億5200万円と、半年間ですでに昨年の被害額を超えているのだ(警察庁発表)。

trendmicro

最終目標が金銭を奪って利益を得ること――このことと、わたしたちにできるセキュリティ対策にはどんな関連があるのだろうか。

「あるオンラインサービスに対して『総当たり攻撃』を仕掛けてアカウントとパスワードの組み合わせを入手したり、ユーザーがパスワードとしてよく使いそうなものを辞書登録しておいてそのリストを使ってハッキングを仕掛けたりするという攻撃は以前から存在します。しかし、最近ではほとんどのオンラインサービスで、ログインの失敗回数の上限を設け、その回数に達した時点でアカウントにロックを掛けるような対策が施されています。そのため、そのような労力を使っても何も得られない、というパターンが増えてきたわけです」(森本氏)

このような総当たり型の攻撃は、費用対効果で考えれば利益が少ない。かわって増えてきているのが「アカウントリスト攻撃」だ。

これは、悪意ある第三者が何らかの手段を使って、オンラインサービスで使われているアカウント情報(IDとパスワード)の組み合わせを入手することから始まる。手法はセキュリティの弱いサービスにハッキングを仕掛けたり、アンダーグラウンドで不正に売買されているセットを購入するなどさまざまだ。

そして、いったん、IDとパスワードのセットを入手してしまえば犯罪者の思うツボ。「面倒なので同じIDとパスワードのセットを使い回している」というユーザーの弱みを突き、リストを使って、ほかのオンラインサービスに対してログインを試みていく。

従来の「総当り」に比べれば、不正ログインが成功する確率ははるかに高い。攻撃者にとっては効率の良い方法なのだ。

しかも、メールアドレスをIDとして登録するサービスが増えているため、いわゆる「名寄せ」も簡単にでき、攻撃しやすくなっている。

social
2014年4月-6月に公表された主なオンラインサービスへの不正ログイン被害11件中、9件がパスワードリスト攻撃によるものなのだ。(公表データをもとにトレンドマイクロが集計)

私たちはいまやさまざまなクラウドサービスに大切なデータを保管するようになった。その中には、今回の騒動で流出したような個人的な写真や情報があるかもしれない。しかしより深刻な問題はカード情報を登録しているECサイトやオンラインバンキングのIDとパスワードのセットが漏れてしまった場合だ。金銭を狙うネット犯罪者はセキュリティの甘いオンラインサービスからアカウントリストを入手して不正なアクセスを試みるのだ。

そう考えると、同じパスワードを使い回すのがいかに危険であり、わたしたちにできるセキュリティ対策はオンラインサービスごとに違うパスワードを設定することにほかならない、ということがお分かりいただけるだろう。

■定期的な変更や複雑なパスワードには効果がない?

これまで、安全対策として「パスワードを定期的に変更するように」というアドバイスを受けてきた人も多いことだろう。職場で使うパスワードに関して「月の変わり目になったので、パスワード変更を」というリマインドがシステム管理者から送られてくるという例もある。

しかし、それについても森本氏は「リアルタイム化するセキュリティ犯罪」という観点から、疑問を挟む。

「パソコンがマルウェアに感染してしまい、パソコンでの操作記録を奪われ、不正ログインによって情報や金銭が盗み取られてしまった、というニュースを目にした方は多いと思います。しかし、最近の事例では、ネットバンキングなどにユーザーがログインしている、まさにその裏で同時に、ユーザーの口座から不正送金を行なう、といった手口が出てきています。同じタイミングで不正送金されてしまうのであれば、パスワードの定期変更は有効な対策ではありません。たとえ毎ログイン後、パスワードを変更したとしても、ログアウト時にはすでに不正送金が完了しているわけですから」

もちろん、「やらないよりはいい」とも森本氏は述べる。なぜなら、気づかないうちに、長期間にわたりメールなどが継続的に盗み見られているといった被害の可能性を低くすることはできるからだ。

trendmicro

「複雑なパスワードを設定すれば安心」ともいわれるが、果たしてどうだろうか。登録時に「アルファベット(場合によっては大文字小文字を使用)」「数字」「記号」を取り混ぜた、セキュリティ強度の高い「複雑」なパスワードを設定するよう求めてくるオンラインサービスも増えてきた。どれほどその強度が高いかはパスワードを設定するテキストボックスの近くに設けられた「インジケーター」で示されることも。そして、そのインジケーターの示す値が「最高」または「最強」であれば安全だとわたしたちは考える。

しかし、森本氏はこの「複雑なパスワード」についても「すぐ推測されるものを設定するよりは良いが、結局、それを複数のサイトで使い回していれば意味がない」という。なぜなら、どんなにセキュリティ強度の高い「複雑」で「安全」なパスワードであったとしても、同一のIDとセットで使い回していたとしたら、1つのサービスから流出してしまえばその「複雑」なパスワードを攻撃者は推測する必要がなくなるからだ。彼らにとってそれはたとえ複雑であっても「既に分かっているパスワード」なのだ。

■パスポートや預金通帳並みに重要な「パスワード」

 どんなにセキュリティが強固なサービスであっても、IDとパスワードがあれば誰にでも――たとえ悪意を持つ第三者による不正なものでも――アクセスできるのがオンラインサービスの負った宿命だ。文字列によるパスワードは時代にそぐわないとして、指紋や網膜を使った認証の実用化も進んでいるが、当面は従来型のパスワードと私たちは向き合っていかなくてはならない。

もしパスワードを使い回していれば、あなたの使っているオンラインストレージサービスやSNS、ECサイトやオンラインバンキングに、いともたやすく攻撃者はログインすることだろう。そしてそれはあなたのお金を盗むだけでなく、社会的地位、交友関係にも影響を与えることを意味する。また、「モノのインターネット」(Internet of Things=IoT)により、医療機器などさまざまなデバイスがITにより制御されるようになる将来には生命をも脅かすことになりかねない。

パスワード情報は、預金通帳やパスポート並みに重要なのだ。そして、攻撃者は何とかしてあなたから金銭や金銭に換えることができる情報を奪って利益を得ようと躍起になっている。自分の身を守るためにもそのことを決して忘れず、パスワードの安易な使い回しを避けてほしいと、森本氏は強調してインタビューを締めくくった。

trendmicro

複数のオンラインサービスでそれぞれ複雑なパスワードを設定しても、紙に書いて貼っておいたりWordやメモ帳などに入力して保存したりしないと到底覚えておけるものではないだろう。そこで、複数のパスワードをセキュアな状態で保ちつつ、利用しているオンラインサービス対応したパスワードを自動入力する――そのためのユーティリティツールが各社からリリースされている。そうしたツールを活用するのも、ひとつの手だろう。トレンドマイクロではパスワード管理ツールが無料でも提供されているので、自分に合った対策を検討したい。(パスワードマネージャー無料版は5つまでのID/パスワードを管理可能)

パスワードマネージャー | トレンドマイクロ

【セキュリティ関連の記事】
ハフィントンポスト日本版はFacebook ページでも情報発信しています
ハフィントンポスト日本版はTwitterでも情報発信しています