is702
パスワードの使い回しはなぜいけないの!?

アカウントを乗っ取られないための対策方法をチェック

2017/03/16
パスワードの使い回しはなぜいけないの!? アカウントを乗っ取られないための対策方法をチェック

新生活を機にネット上で新しいアカウントを作る方も多いのではないでしょうか。アカウント乗っ取りは、いまやネット利用者にとって無視できないセキュリティ脅威の1つです。今回は増える一方のアカウントを安全かつ便利に管理する方法について紹介します。

アカウント乗っ取りにあうと何が起こる?

入学や入社などで新しい生活をスタートさせる季節になりました。この機会にSNSを始めたりショッピングサイトを利用したりするために、新しくアカウントを作る方もいらっしゃるのではないでしょうか。SNSやショッピングサイト以外にも、Webメール、オンラインストレージ、ネットバンキングなど、ネット上には私たちの生活を便利にしてくれるサービスがたくさんあります。

こうしたサービスのアカウント作成時には、ほとんどの場合、ID/パスワードの登録が求められますが、利用するサービスが増えれば増えるほど、アカウントの管理がおろそかになってしまっていませんか。面倒がってパスワードに単純な文字列を指定したり、複数のサービスに同一のID/パスワードを使い回したりしている方は多いのではないでしょうか。もしかすると、何らかの理由で使わなくなったサービスのアカウントをそのまま放置している方もいるかもしれません。

こうしたネット利用者のアカウント管理の隙をついた不正アクセスがネット上で目立っています。

警察庁が発表した(※1)2015年の不正アクセス発生状況に関する報告では、不正ログイン後に行われた行為の内訳では、「インターネットバンキングでの不正送金」が最も多く(1531件)、続いて「インターネットショッピングでの不正購入」(167件)、「オンラインゲーム、コミュニティサイトの不正操作」(96件)、「メールの盗み見等の情報の不正入手」(92件)、「知人になりすましての情報発信」(83件)など、深刻な被害につながっていることが分かります。

2015年における不正アクセス後の行為別認知件数(警察庁)(※1)
のデータを加工してトレンドマイクロにて作成

※1:出典:平成27年における不正アクセス行為の発生状況等の公表について(警察庁)
https://www.npa.go.jp/cyber/pdf/h280324_access.pdf

トレンドマイクロの調査でも、気づかぬ間にFacebookのアカウントを乗っ取られ、詐欺サイトに誘導する広告を友人・知人に勝手に拡散されてしまうような事例が確認されています。

アカウント乗っ取り後、ユーザを不正サイトへ誘導するFacebook投稿の例

こうした被害に遭わないようにするには、アカウントをどのように管理するべきでしょうか。

アカウント乗っ取りを防ぐための3つのポイント

警察庁発表(※1)によると、2015年に検挙した不正ログイン行為の手口の内訳では、アカウント利用者の「パスワード設定・管理の甘さにつけ込んだもの」が全体の35.3%(117件)と最も多く、次いで多かったのが、「インターネット上に流出・公開されていたID/パスワードを入手して悪用」(17.2%;57件)したものでした。

この結果を踏まえて、利用者が行なえる3つの対策があります。

1.第三者に推測されにくいパスワードを設定する

たとえば、「abcdef」や「123456」といった英数字を規則的に並べただけのものや、辞書に載っている単語や名前、誕生日などの単純な文字列のパスワードは、攻撃者に容易に推測され悪用される可能性があります。必ず第三者に推測されにくいパスワードを設定しましょう。

参考までに、ある程度、覚え易く他者に推測されにくいパスワード作成方法の例を一つ紹介します。

パスワード作成方法の例

1. 日本語のフレーズ(単語ではなく簡易な一文)を一つ決めます。
例:「今日は雨」

2. 文頭を大文字にしてローマ字に変換します。
例:「Kyo ha ame」

3. 日本語の区切り位置に自分の個人情報と容易に結びつかない数字を埋め込みます。
例:友人の誕生日 3月16日を埋め込む。「Kyo3ha1ame6」

4. 最初と最後の数字と同じキー上にある特殊文字を選んで、数字の後ろに埋め込みます。
例:数字と同じキー上にある特殊文字( 3 → #、6 → & )「Kyo3#ha1ame6&」

この例のように、自分にとって覚えやすいフレーズをローマ字にし、数字や記号の組み合わせ方についての自分なりのルールを決めることで、ある程度他者に推測されにくいパスワードを作ることができます。

2.パスワードは複数のサービスで使いまわさない

インターネット上にID/パスワードが流出する原因の1つに、企業や組織が運営しているWebサイトが攻撃を受けて、保管しているアカウント情報を盗まれるといったものがあります。攻撃者は、こうして流出したアカウントのリストを使って、他のサービスにも不正ログインを試みます。結果、同じID/パスワードを利用しているサービスのアカウントが芋づる式に乗っ取られてしまうのです。これはアカウントリスト攻撃とよばれるもので、すでに攻撃者の常とう手段となっています。サービスごとに必ず異なるパスワードを設定しましょう。

3.パスワード管理ツールを使って、安全かつ便利にアカウントを管理する

安全なアカウント管理のポイントは、「第三者に推測されにくい複雑なパスワードを使用すること」、かつ「サービスごとに異なるパスワードを設定すること」です。しかし、この条件を満たすアカウント管理は、利用するサービスが増えれば増えるほど手間がかかり面倒です。

そこで、アカウントをより効率的かつ安全に管理できるパスワード管理ツールの利用をおすすめします。パスワード管理ツールでは、利用するサービスとID/パスワードの組み合わせを一度登録すれば、サービス毎に設定した複雑なパスワードは紙にメモしたり、頭の中で記憶したりする必要がなくなります。

パスワード管理ツール自体のパスワード(マスターパスワード)を入力してログインすれば、利用したいサービスのページに移動すると、自動でID/パスワードを入力してくれます。中には、脆弱なパスワードを設定していたり、パスワードが使い回されたりしているサービスを明示し、安全性の高いパスワードを自動生成してくれるものもあります。

これまでパスワード管理ツールを利用したことのない方は、一度パスワード管理ツールを使った安全かつ便利なアカウント管理方法を検討するのもひとつの手段でしょう。

トレンドマイクロでは、パスワード管理ツール「パスワードマネージャー」を提供しています。

※クリックするとトレンドマイクロのパスワードマネージャーの紹介ページが開きます。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ