私たちは普段業務を行う中でPCログイン時をはじめ、システムやアプリ・サイト利用時などあらゆる場面でログインパスワードを入力しています。セキュリティ対策のためにパスワード設定は必須ですが、複数のサイトで同じパスワードを使い回す方法は非常に危険です。このことは様々なサイトやサービス内で注意喚起されていますが、過去トレンドマイクロ社が発表した調査ではパスワードの使い回しにリスクを感じているもののサービスごとにパスワードを覚えることができないなどの理由で「パスワードを使い回している」と回答した人が全体の8割にも上りました。しかし、不正アクセスを試みるサイバー犯罪者はこうした複数のサービスで同じパスワードを使い回す傾向を利用して攻撃を行います。
今回はどのようにしてパスワードが突破されているのか・不正アクセスによる被害事例、そして安全なパスワードの生成方法と管理方法についてご紹介します。
まず、サイバー犯罪者はどのようにしてログイン情報を入手し不正アクセスしているのか、パスワードを突破する手口についてご紹介します。
ブルートフォース攻撃とはパスワードを総当たりし、不正ログインを試みる方法です。全パターンのパスワードを入力するという単純な方法ですが、一致した文字の組み合わせを割り出すことができます。入力作業はBOTと呼ばれるプログラムなどを用いて高速で行われています。また、パスワードではなくIDを総当たりする手法もあります。オンラインサービスではメールアドレスがIDとして使われることが多いため、この傾向を利用して特定のパスワードに対し複数のID(メールアドレス)を総当たりして不正ログインを試みます。
辞書攻撃とはパスワードによく使用されている文字列(人名や地名など)がリスト化されたデータを優先的に組み合わせて不正アクセスを試みる方法です。このリストを使用することで不正アクセスの成功率があがります。
パスワードリスト攻撃とはサイバー犯罪者がブラックマーケットなどから入手したIDやパスワードのリストを用いて総当たりで不正アクセスを試みる方法です。BOTが一秒間に数百~数万回という頻度でIDとパスワードの組み合わせを試しているため、回数を重ねることで存在するIDとパスワードを見つけてしまいます。また、パスワードリスト攻撃はブルートフォース攻撃や辞書攻撃に比べ同じIDに対する試行回数が非常に少ないことからサイト側で検知されにくい攻撃でもあります。
リスト型攻撃とは何らかの方法で入手したIDとパスワードがセットになっているリストを再利用して、さまざまなサイトやサービスへの不正ログインを試みる方法です。複数のサービスで同じパスワードを使い回している傾向が高いことに目を付けた方法で、ここ数年急増している攻撃でもあります。
ソーシャルエンジニアリングとはインターネットを利用することなく人の隙に付け込んで情報を入手し、その情報を基にパスワードを推測して不正ログインを試みる方法です。身近にいる知人や業者を装ったサイバー犯罪者が電話でパスワードを聞き出す・のぞき見する・ゴミ箱を漁るなどの方法で情報を入手します。
フィッシングメールとは送信者を詐称して偽の電子メールを送信して偽装サイトにアクセスするよう誘導した上で、個人情報・企業データ・クレジットカード情報などを盗み出す方法です。中でも金融機関やクレジットカード会社を装って偽サイトに誘導し、口座番号・クレジットカード番号・パスワードなどの情報を盗み出す手口が有名です。
< 関連記事はこちら >
次に、パスワードの使い回しなどにより不正アクセスが発生した事例についてご紹介します。
某大手通信会社は2018年8月に個々のユーザー専用ページへの不正ログインが発覚しました。ユーザーのアカウントを不正利用し、キャリアのオンラインストアにて商品を購入する事象が確認されました。パスワードリスト攻撃による不正ログインが原因だったものと見られています。その後、不正ログインの対策として「2段階認証」を用意しました。
某大手アパレル会社は2019年4~5月にかけてオンラインストアへの不正ログインが発覚しました。顧客情報が46万件流出し、中にはクレジットカード情報の一部も含まれていました。パスワードリスト攻撃による不正ログインが原因だったものと見られています。
某大手サービス業は2016年11月にサービスへの不正ログインが発覚しました。58万件のアカウントが不正ログインされ、不正利用などの事実はなかったものの個人情報は流出した可能性があります。こちらもパスワードリスト攻撃による不正ログインが原因だったものと見られています。
某スマホ決済サービスは2019年7月のサービスを開始した直後に不正利用が発覚し、2019年9月に全てのサービスを廃止しました。被害額は3,800万円以上で「複数端末からログインがあった場合の対策」や「2段階認証などの追加認証の検討・システム全体の最適化の検証が不十分」だったことが原因として考えられると報告しました。
次に、さまざまな攻撃から不正ログインを防ぐための強固なパスワードの生成方法についてご紹介します。
これまで「大文字小文字と数字記号を含めた8文字」が強固なパスワードであると言われていましたが、年々パソコンの処理能力やパスワードを推測する技術が進歩していることで解読速度は高まっています。そのため以前よりもさらに強固なパスワードを生成する必要があります。
記号なども交えた複雑なパスワードを生成することが強固なパスワードの生成方法と考えられている方も多いですが、近年では「複雑なパスワード」よりも「文字数が多く長いパスワード」であるほうが覚えやすく強固なパスワードだと言われています。アメリカ国立標準技術研究所(NIST)が公表しているガイドラインを基にしてFBIでも「大文字・小文字・記号の使用は混ぜたほうがいいものの必須ではなく、文字数はできるだけ長く15文字以上、もし設定できる文字列が15文字よりも短い場合はそれぞれ設定できる最長のパスワードを設定することを推奨しています。
設定するパスワードフレーズが辞書攻撃に使用されている”辞書”に登録されている可能性もあるため、それぞれの単語に関連性がない複数の好きなフレーズを混ぜ合わせるなど組み合わせ方に工夫しましょう。
パスワードによく使用されている「個人の生年月日」「車のナンバー」「人名・有名人の人名」「スポーツ団体」「地名」や日本でよく使われているパスワード「123456、1234、0000、password、asdfghjk、akubisa2020」といったキーボードの配列順など、推測されやすい単純なパスワードは使用しないで下さい。また一見、他人が思いつかなそうな複雑なフレーズ・文字列であっても多くの人が使った場合、流出する機会が増え”辞書”や”パスワードリスト”に登録されてしまう可能性があることも念頭に入れておきましょう。
パスワードフレーズの文字の一部を置き換える(「a」→「@」、「o」→「0」など)・パスワードの前後に必ず記号を入れるなど自分ルールを作り、そのルールを基にパスワードを生成しましょう。
また、以前までは「定期的なパスワードの変更」についても推奨されていましたが、強固なパスワードを設定した場合はパスワードが流出した可能性がなければ変更する必要はありません。マイクロソフト社や総務省もパスワードの定期的な変更の弊害を認め「強力なパスワードであれば定期的な変更は不必要」と説明しています。但し、気づかぬうちにパスワードが流出しているケースに備え、臨機応変にパスワードを変更することは有効です。
最後に、安全にパスワードを管理する方法についてご紹介します。
※ ただし、条件付きの管理方法のため対応時には十分に注意してください。
手帳に記載する・メモ用紙に記載してお財布に保管するなど、常に自分の手元に置く方法で管理しましょう。万が一に備えて家に保管する分もコピーを取っておく(二重管理)と安心です。但し、紛失する・身近な人に盗み見られる可能性もあるため、パスワードの最初と最後の文字は記載しない・何に対するパスワードかを記載する場合は他人に分からないよう暗号で書くなどの工夫も必要です。パスワードの管理方法としてスマホのメモアプリやパスワードマネージャー(パスワード管理ツール・アプリ)などで管理する方法もありますが、サービスのパスワードを突破されてしまうと全てのパスワードが明らかになってしまいます。また、データの場合は窃取されたとしてもデータ自体が消えるわけではないためパスワードを盗まれたことに気が付きにくいです。一方、紙であれば紛失した場合すぐに気づきパスワードを変更することができます。
WordファイルやExcelファイルなどでデータを管理する場合はデータの流出や消失する可能性もあるため必ずファイルにアクセスの制限をかけましょう。また「パスワード管理」など分かりやすいファイル名を付けない・デスクトップなど目につく場所に保存しない・定期的にバックアップをとるなど工夫しましょう。
以上、パスワードを突破する手口・不正アクセスによる被害事例、安全なパスワードの生成方法と管理方法についてご紹介しました。
― パスワードを突破する手口
― 使い回しによる被害・事例
― 強固なパスワードの生成方法
― パスワードの管理方法
近年ではサービス側においても不正ログインを防ぐためにさまざまな対策がとられています。ログイン時に2回に分けた認証を求められる「2段階認証」は本人確認の精度が厳格化され、不正ログイン防止の強化が期待できます。強固なパスワードの生成や安全なパスワードの管理方法と併せて2段階認証などのセキュリティ対策も活用しましょう。但し、サイバー攻撃は日々進化し2段階認証を狙った手口も増えつつあります。どんなにセキュリティ対策を行ってもパスワードが突破される可能性はあります。
一番重要なことは万が一パスワードが流出した場合に被害を最小限に抑えることです。そのために金融機関やショッピングなど金銭に関わるサービスを優先的に、できるだけ早く使い回しているパスワードを変更しましょう。
