漏れていること前提で考えるべし
あなたのIDとパスワードは、おそらく漏れています。個人で、自分のIDとパスワードの漏洩を防ぐことは無理なんです。既に漏洩していることを前提に対策をした方がいいでしょう。
毎日のように、ネットサービスの不正利用のニュースが伝えられますが、僕は、それを聞いてもそれほど不安にはなりません。同じパスワードを使いまわしていないからです。もし使いまわしていたら、もうドキドキが止まらないでしょうね。同じパスワードを使っているサイトでは、今すぐにでも被害に遭う可能性がある、もしくは既に被害に遭っているかもしれないのですから。
漏洩したIDとパスワードは、あなたの知らないところで売買されています。そして第三者によって、通販サイトやアプリのログインに使われてしまう。でも、もしサービスごとに異なるパスワードを設定していれば、Aというサイトから漏洩したIDとパスワードを使ってBというサイトに不正アクセスしようとしてもできません。被害は防げるわけです。
パスワード、何個持っていますか?
最近はようやく、「パスワードの使いまわしは危険」ということが知られるようになってきました。それでも、ヤフーが9月に発表した調査結果によると61%が、トレンドマイクロが同月発表した調査では85.7%が、同じパスワードを使いまわしていると答えています。
僕は、誰かにパスワード管理について相談されたりすると、「パスワードは何個ぐらい持っていますか?」と聞くんですが、「7個」や「10個」など、実際よりも少なめに答える人が多い。でも、ネットショップ、ニュースサイト、SNS……と数えてみると、20個は優に超える人が大半です。どこに何を登録しているかわからないこともたくさんあります。「よくない」と知りつつ、たくさんあって覚えきれないから、つい同じパスワードを使いまわしてしまうんですね。
今は、買い物や行政サービスまで、何でもかんでもネットでできてしまいます。ネットで生活が便利になるにつれ、1人が使うIDとパスワードの数が膨大に増えました。こうした状況と、IDとパスワードの大量流出が重なり、2013年ごろからパスワードを使いまわしているユーザーを狙った攻撃が増えてきました。
自分のメールアドレスやパスワードが流出していないか気になる方は、英語のサイトですが「Have I Been Pwned」(「私、やられちゃってる?」といった意味)というサイトに、自分のメールアドレスを入力してみると、過去に漏洩事件で流出したメールアドレスのリストに含まれているかを教えてくれます。「Oh no-pwned!」だと、流出していることを示します。「Good news-no pwnage found!」だと、リストに含まれていないことがわかります。ただ、このサイトが把握しているリストに含まれていないだけなので、ほかで流出している可能性はあります。したがって、あくまでも目安として見るようにしてください。
まず、「敵」のやり口を知る
そもそも攻撃者は、どうやってパスワードを突破しているのでしょうか。それを理解すれば、なぜ対策をしなくてはならないか、どんな対策が必要かがわかります。攻撃方法を大きく4つに分けて紹介します。
ブルートフォース(総当たり)
これは、ある意味原始的なやり方です。たとえばパスワードが4ケタの数字なら、0000から9999まで1万通り試せば、いつかどこかで当たります。IDやパスワードの入力を何度か間違えると、ロックがかかってしまう「アカウントロック」は、ブルートフォースの対策です。
辞書攻撃
5月の第一木曜日は「世界パスワードの日」なのですが、毎年この日や年末ごろに、世界でもっともパスワードに使われる文字列が発表されます。「password」「123456」「P@ssword」のほか、人名や地名などが上位に上がります。こうした、パスワードによく使われる文字列が収録されているリスト(つまり辞書)を元に攻撃するのが辞書攻撃です。このリストを使えば成功率が上がるため、サイバー犯罪者が利用するアンダーグラウンドの場ではよく流通しています。
もっとも使われている、つまり使ってはいけないパスワードランキング
リバースブルートフォース(逆総当たり)
ブルートフォースはパスワードに対して総当たりするのに対して、こちらはパスワードではなく、IDに総当たりします。弱いパスワード、つまり、よく使われているパスワードに対して、別途入手したリストにあるメールアドレスを片っ端から当てていくのです。そうすると、一つのアカウントに対するエラーはアカウントロックされる回数を下回るように調整できるため、アカウントロックが機能せず、サイト側の検出をすり抜けることができるのです。
リスト型攻撃
ここ数年で大きく増えているのが、このリスト型攻撃で、「パスワードリユースアタック」(パスワード再利用攻撃)とも言われます。まさに、パスワードを使いまわしている人が多いことに目を付けて編み出された手法です。どこかから流出したIDとパスワードのリストを再利用して、さまざまなWebサイトを攻撃し、同じパスワードを使いまわしているユーザーのアカウントを乗っ取るのです。
このような攻撃は、特別に頭のいい、高いIT技術を持ったひと握りの犯罪者がやっているわけではありません。攻撃のやり方は、インターネットを探せば見つかりますし、攻撃用のソフトも簡単に買うことができます。攻撃の「成功率」を上げるための新しい手法も、どんどん出てきています。
モノなら盗まれればすぐわかりますが、IDやパスワードは、盗まれてもわかりません。私たちは「パスワードが漏れたらどうしよう」と不安がるよりも、「漏れても被害を最小限に抑えることができる」ように対策しておかなければならないのです。
「強い」パスワードの簡単な作り方
では、どうしたら、被害を最小限に食い止めることができるのでしょうか。ポイントは2つあります。ブルートフォース、辞書攻撃などでも破られにくい、「強い」パスワードを作ること、そして、繰り返しになりますが、同じパスワードを使いまわさないことです。
では、「強い」パスワードとは、どんなものなのでしょうか。
ネットセキュリティについて、国内外の多くの専門家が参照しているであろうドキュメントの1つに、アメリカ国立標準技術研究所(NIST)が公表しているガイドラインがあります。一般のユーザーに向けたものではなく、ネットのサービスを提供する側に向けたものですが、そのサービスを利用する側の私たちが何をするべきか、また、何ができるのかを知る参考になります。
このガイドラインでは、ネットのサービスでユーザーにパスワードの設定を求める場合「パスワードは8文字以上で64文字以上のものも受け入れるようにすべき」としています。さらに、「記号などを含む複雑なパスワードを強制すべきではない」とも言っています。
つまり「複雑さ」より「長さ」。覚えにくい複雑なパスワードよりも、文字数が多く長いパスワードの方が記憶しやすく、強固だといえるでしょう。
ブルートフォース(総当たり)攻撃のところで説明した通り、もしパスワードが4ケタの数字であればパターンは1万通りですが、5ケタだと00000から99999まで10万通りになります。ケタが多ければ多いほど、パターンが増えるので当たる確率が下がります。文字数は、長ければ長いほど「強いパスワード」になるのです。8文字以上で、できる限り長いものを設定しましょう。
でも、ランダムな長い文字列なんて、誰も覚えられません。ですから「そもそも自分が覚えているフレーズ」をパスワードにすることをお勧めします。たとえば、好きな本の書き出しや好きな曲の歌詞を組み合わせます。特定の本の書き出しだけだと、辞書攻撃の辞書に載っている可能性があるので、異なる複数の本の書き出しを組み合わせる、好きな曲の歌詞をまぜるなど、工夫するといいでしょう。
僕のオカンにもできる簡単で最強のやり方
でも、人間の記憶には限界がありますから、すべてを覚えようとしない方がいい。多くの人は、20以上のIDとパスワードがあるでしょうから、同じものを使いまわししないとなると、20パターン以上のパスワードが必要になります。そんなに記憶するのは難しいでしょう。
ではどうしたらいいか。僕はこういう場合、「うちのオカンでもできるやり方か?」と考えます。パスワード管理のための良いソフトはたくさん出ていますが、多分うちのオカンには使えません。
オカンでもできる簡単で最強の方法は、「紙に書くこと」です。
そう言うと「パスワードを紙に書いてもいいんですか?」と言われます。
いいんです!
ダメなのは、紙に書いて、パソコンに貼っておくなど、第三者に容易に見られる状態にすること。誰かに見られるかもしれないし、盗まれたり、失くしたりするリスクがあるからです。
手帳に書いたり、名刺サイズの紙に書いて財布に入れるなど、自分が常に手元に置いているもので管理しましょう。
ただし紙の場合、落として誰かに拾われたりする可能性があります。その対策として、「割符」のように、パスワードの最初と最後は書かないでおくとよいでしょう。たとえば、私の誕生日は7月1日なのですが、パスワードは「7tonneruwonukerutosokohayukigunidatta+saitasaita1」と設定しておき、紙には最初の7と最後の1を抜かした「tonnneruwonukerutosokohayukigunidatta+saitasaita」しか書かない。家にペットが2匹いるなら、最初に1匹の名前、最後にもう1匹の名前にしてもいい。数字でもアルファベットでもよいのですが、自分の覚えられるものを共通でつけて、そこだけ抜いておけば、人に見られても問題ありません。
それぞれのパスワードに対応するWebサイト名を、自分にしかわからない暗号のようにして書いたり、そもそも書かないでおくなどの工夫も必要です。
なぜ紙が「最強」なのか
紙にメモするのではなく、スマートフォンのメモアプリに入力している人もいますが、これは注意が必要です。スマホの中のデータを、クラウドサービス(iPhoneであればiCloudなど)と同期している場合、iCloudのパスワードを突破されると、ほかのパスワードがすべて明らかになってしまうからです。
ではなぜ紙が最強なのか。それは「なくすとわかる」からです。これがデジタルデータと紙との決定的な違いです。よく「データを盗まれた」といいますが、それはコピーをとられただけで、そのものが消えているわけではありません。盗まれた本人は気がつきにくいといえます。
その点、紙はなくなったらわかります。紛失や盗難に備えてコピーをとっておき、家に保管しておく。もし紛失したりした場合は、家にあるコピーをもとに、パスワードを変更すればいいのです。
面倒なことは機械に任せても
僕の場合は仕事の関係もあって、IDとパスワードが必要なWebサイトを400くらい使っています。とてもではありませんが、記憶や紙に書くといったやり方では管理しきれません。
実は、こうした「このWebサイトにはこのパスワードを入れろ」といった、定型の動作を記録、管理することを最も得意とするのがコンピューター。面倒なことは機械に任せるのが一番いいんです。
ということで、僕は「1Password」という有料のアプリを使っています。強度の高いパスワードを自動で生成し、記憶してくれるので、ユーザーの方は、アプリのマスターパスワードだけを覚えておけばいい。指紋認証のあるスマホであれば、マスターパスワードを入力しなくてもログインできるように設定することも可能です。(スマホを買い替えたりした場合にはマスターパスワードが必要なので、忘れないように注意する必要があります。)パソコンで登録したパスワードはスマホでも使えますし、セキュリティもしっかりしています。30日間は無料で使えるので、こうした新しいアプリを使うことに抵抗がない人は、使ってみるとよいと思います。
まずは「金銭」と「アイデンティティ」から
「紙に書く」でも「パスワード管理ソフト」でも、自分で使える方法を選べばよいと思います。とにかく、できるだけ早く、パスワードの使いまわしをやめることが先決です。
ただ、たくさんあるパスワードのすべてを一気に変更するのは本当に大変です。「大変だから後回しに……」とならないよう、まずは大事なアカウントから変えましょう。
大事なアカウントとは、銀行や買い物サイトなど「金銭」に関わるもの、SNSやメールなど自分の「アイデンティティ」に関わるものです。メールは、パスワードのリセットに欠かせませんから、非常に重要です。これらだけなら、10個くらいにおさまるはずです。できるところから順番に変えていきましょう。
