【パスワードの使いまわしは危険!】突破手口と対策

2023.04.18

ログイン画面

私たちは普段業務を行う中でPCログイン時をはじめ、システムやアプリ・サイト利用時などあらゆる場面でログインパスワードを入力しています。セキュリティ対策のためにパスワード設定は必須ですが、複数のサイトで同じパスワードを使いまわす方法は非常に危険です。
このことは様々なサイトやサービス内で注意喚起されていますが、過去トレンドマイクロ社が発表した調査では【パスワードの使いまわしにリスクを感じているもののサービスごとにパスワードを覚えることができない】などの理由で「パスワードを使いまわしている」と回答した人が全体の8割にも上りました。しかし、不正アクセスを試みるサイバー犯罪者はこうした複数のサービスで同じパスワードを使いまわす傾向を利用して攻撃を行います。

今回はどのようにしてパスワードが突破されているのか・不正アクセスによる被害事例、そして安全で強固なパスワードの生成方法と管理方法について解説します。

まず、パスワードの使いまわしがなぜ危険なのか、主な理由について解説します。

芋づる式に攻撃を受ける

サイバー攻撃者は不正に入手したログインIDやパスワードを組み合わせてリスト化することで、ユーザーが利用しているその他のサービスへの不正ログインを試みます。
そのため、複数のサービス間でパスワードを使いまわしている場合、そのうち一つでもパスワード認証が突破されたりやログイン情報が流出したりした場合、パスワードを使いまわしているその他のサービスもすべて芋づる式に不正ログインされるリスクがあります。さらに、複数のサービスにおいて「アカウントの乗っ取り」「個人情報・機密情報の窃取」「データの改ざん」などの被害が拡大する危険性があります。

パスワードを突破する手口

次に、サイバー犯罪者はどのようにログイン情報を入手して不正アクセスしているのか、パスワードを突破する手口について解説します。

ブルートフォース攻撃

ブルートフォース攻撃とはパスワードを総当たりし、不正ログインを試みる方法です。全パターンのパスワードを入力するという単純な方法ですが、一致した文字の組み合わせを割り出すことができます。入力作業はBOTと呼ばれるプログラムなどを用いて高速で行われています。
また、パスワードではなくIDを総当たりする手法もあります。オンラインサービスではメールアドレスがIDとして使われることが多いため、この傾向を利用して特定のパスワードに対し複数のID(メールアドレス)を総当たりして不正ログインを試みます。

辞書攻撃

辞書攻撃とはパスワードによく使用されている文字列(人名や地名など)がリスト化されたデータを優先的に組み合わせて不正アクセスを試みる方法です。このリストを使用することで不正アクセスの成功率があがります。

パスワードリスト攻撃

パスワードリスト攻撃とはサイバー犯罪者がブラックマーケットなどから入手したIDやパスワードのリストを用いて総当たりで不正アクセスを試みる方法です。BOTが一秒間に数百~数万回という頻度でIDとパスワードの組み合わせを試しているため、回数を重ねることで存在するIDとパスワードを見つけてしまいます。また、パスワードリスト攻撃はブルートフォース攻撃や辞書攻撃に比べて同じIDに対する試行回数が非常に少ないことからサイト側で検知されにくい攻撃でもあります。

リスト型攻撃

リスト型攻撃とは何らかの方法で入手したIDとパスワードがセットになっているリストを再利用して、さまざまなサイトやサービスへの不正ログインを試みる方法です。複数のサービスで同じパスワードを使いまわしている傾向が高いことに目を付けた方法で、ここ数年急増している攻撃でもあります。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとはインターネットを利用することなく人の隙に付け込んで情報を入手し、その情報を基にパスワードを推測して不正ログインを試みる方法です。身近にいる知人や業者を装ったサイバー犯罪者が電話でパスワードを聞き出す・のぞき見する・ゴミ箱を漁るなどの方法で情報を入手します。

フィッシングメール

フィッシングメールとは送信者を詐称して偽の電子メールを送信して偽装サイトにアクセスするよう誘導した上で、個人情報・企業データ・クレジットカード情報などを盗み出す方法です。中でも金融機関やクレジットカード会社を装って偽サイトに誘導し、口座番号・クレジットカード番号・パスワードなどの情報を盗み出す手口が有名です。

不正ログインを試みるハッカー

< 関連記事はこちら >

使いまわしによる被害・事例

次に、パスワードの使いまわしなどにより不正アクセスが発生した事例についてご紹介します。

大手通信会社

某大手通信会社は2018年8月に個々のユーザー専用ページへの不正ログインが発覚しました。ユーザーのアカウントを不正利用し、キャリアのオンラインストアにて商品を購入する事象が確認されました。パスワードリスト攻撃による不正ログインが原因だったものと見られています。その後、不正ログインの対策として「2段階認証」を用意しました。

大手アパレル会社

某大手アパレル会社は2019年4~5月にかけてオンラインストアへの不正ログインが発覚しました。顧客情報が46万件流出し、中にはクレジットカード情報の一部も含まれていました。パスワードリスト攻撃による不正ログインが原因だったものと見られています。

アカウントの乗っ取り

某大手サービス業は2016年11月にサービスへの不正ログインが発覚しました。58万件のアカウントが不正ログインされ、不正利用などの事実はなかったものの個人情報は流出した可能性があります。こちらもパスワードリスト攻撃による不正ログインが原因だったものと見られています。

スマホ決済サービス

某スマホ決済サービスは2019年7月のサービスを開始した直後に不正利用が発覚し、2019年9月に全てのサービスを廃止しました。被害額は3,800万円以上で「複数端末からログインがあった場合の対策」や「2段階認証などの追加認証の検討・システム全体の最適化の検証が不十分」だったことが原因として考えられると報告しました。

安全で強固なパスワードの生成・設定方法

次に、さまざまな攻撃から不正ログインを防ぐための安全かつ強固なパスワードの生成・設定方法についてご紹介します。

これまで「大文字小文字と数字記号を含めた8文字」が強固なパスワードであると言われていましたが、年々パソコンの処理能力やパスワードを推測する技術が進歩していることで解読速度は高まっています。そのため『本人以外知らない情報』や『推測されづらいもの』など、以前よりもさらに安全で強固なパスワードを生成・設定する必要があります。

文字数を長くする

記号なども交えた複雑なパスワードを生成することが強固なパスワードの生成方法と考えている方も多いですが、近年では「複雑なパスワード」よりも「文字数が多く長いパスワード」であるほうが覚えやすく強固なパスワードだと言われています。アメリカ国立標準技術研究所(NIST)が公表しているガイドラインを基にしてFBIでも「大文字・小文字・記号の使用は混ぜたほうがいいものの必須ではなく、文字数はできるだけ長く15文字以上、もし設定できる文字列が15文字よりも短い場合はそれぞれ設定できる最長のパスワードを設定することを推奨しています。

複数のフレーズを組み合わせる

設定するパスワードフレーズが辞書攻撃に使用されている”辞書”に登録されている可能性もあるため、それぞれの単語に関連性がない複数の好きなフレーズを混ぜ合わせるなど組み合わせ方に工夫しましょう。

単純・よく使われている文字列は使用しない

パスワードによく使用されている「個人の生年月日」「車のナンバー」「人名・有名人の人名」「スポーツ団体」「地名」や日本でよく使われているパスワード「123456、1234、0000、password、asdfghjk、akubisa2020」といったキーボードの配列順など、推測されやすい単純なパスワードは使用しないで下さい。また一見、他人が思いつかなそうな複雑なフレーズ・文字列であっても多くの人が使った場合、流出する機会が増え”辞書”や”パスワードリスト”に登録されてしまう可能性があることも念頭に入れておきましょう。

自分ルールを作る

パスワードフレーズの文字の一部を置き換える(「a」→「@」、「o」→「0」など)・パスワードの前後に必ず記号を入れるなど自分ルールを作り、そのルールを基にパスワードを生成しましょう。ただし、自分ルールを取り入れたパスワードであっても「P@ssw0rd」など推測されやすい単語は使用しないで下さい。

なお、以前までは「定期的なパスワードの変更」についても推奨されていましたが、強固なパスワードを設定した場合はパスワードが流出した可能性がなければ変更する必要はありません。マイクロソフト社や総務省もパスワードの定期的な変更の弊害を認め「強力なパスワードであれば定期的な変更は不必要」と説明しています。そのため、定期的にパスワードを変更するのではなく、一つのパスワードを複数のサービス間で使いまわすことがないよう、固有のパスワードを設定することが重要です。
但し、気づかぬうちにパスワードが流出しているケースに備え、臨機応変にパスワードを変更することは有効と言えます。

考えている女性

パスワードの管理方法

最後に、安全にパスワードを管理する方法についてご紹介します。
※ ただし、条件付きの管理方法のため対応時には十分に注意してください。

紙媒体で管理

手帳に記載する・メモ用紙に記載してお財布に保管するなど、常に自分の手元に置く方法で管理しましょう。万が一に備えて家に保管する分もコピーを取っておく(二重管理)と安心です。但し、紛失する・身近な人に盗み見られる可能性もあるため、パスワードの最初と最後の文字は記載しない・何に対するパスワードかを記載する場合は他人に分からないよう暗号で書くなどの工夫も必要です。パスワードの管理方法としてスマホのメモアプリやパスワードマネージャー(パスワード管理ツール・アプリ)などで管理する方法もありますが、サービスのパスワードを突破されてしまうと全てのパスワードが明らかになってしまいます。また、データの場合は窃取されたとしてもデータ自体が消えるわけではないためパスワードを盗まれたことに気が付きにくいです。一方、紙であれば紛失した場合すぐに気づきパスワードを変更することができます。

Wordファイル・Excelファイルで管理

WordファイルやExcelファイルなどでデータを管理する場合はデータの流出や消失する可能性もあるため必ずファイルにアクセスの制限をかけましょう。また「パスワード管理」など分かりやすいファイル名を付けない・デスクトップなど目につく場所に保存しない・定期的にバックアップをとるなど工夫しましょう。

メモをとるサラリーマン

まとめ

以上、パスワードを突破する手口・不正アクセスによる被害事例、安全なパスワードの生成方法と管理方法についてご紹介しました。

― パスワードの使いまわしが危険な理由
パスワードを突破する手口
使いまわしによる被害・事例
強固なパスワードの生成方法
パスワードの管理方法

近年ではサービス側においても不正ログインを防ぐためにさまざまな対策がとられています。ログイン時に2回に分けた認証を求められる「2段階認証」は本人確認の精度が厳格化され、不正ログイン防止の強化が期待できます。強固なパスワードの生成や安全なパスワードの管理方法と併せて2段階認証などのセキュリティ対策も活用しましょう。但し、サイバー攻撃は日々進化し2段階認証を狙った手口も増えつつあります。どんなにセキュリティ対策を行ってもパスワードが突破される可能性はあります。
一番重要なことは万が一パスワードが流出した場合に被害を最小限に抑えることです。そのために金融機関やショッピングなど金銭に関わるサービスを優先的に、できるだけ早く使いまわしているパスワードを変更しましょう。


社内LAN・Wi-Fi環境診断
メルマガ新規登録の案内バナー
一覧に戻る