「パスワードを複雑にしているから安全」と考えていませんか? 実は、私はそう考えていました。しかし、同じパスワードを複数サービスで使っていると、いくら複雑にしてもダメです。
最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても役に立ちません。
また、パソコンやスマホがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。
今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。また、パスワードを悪用する方法についても紹介します。
なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがあります。これを利用することで、パスワードを強化し、「パスワードリスト攻撃」も防ぐことができます。これについても簡単に紹介します。
■■□―――――――――――――――――――□■■
パスワードを守り安全活用するためのポイントとは
■■□―――――――――――――――――――□■■
これから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、大事な個人情報やお金を守ることにつながります。特に、(1)~(5)は重要な内容ですので、注意下さい。
(1) 見破られにくいパスワードを使う
良いパスワードの基本は、
”英字の小文字・大文字、数字を混合させ、12桁以上にする” ことです。
その他、以下に注意することが大事です。
①「123456」のような単純なパスワードにしない
②パスワードには辞書に載っている単語を使わない
③パスワードには自分の誕生日・名前などの個人情報を使わない
④会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける
(2) パスワードは人目に触れないよう十分注意して管理する
①紙のメモ(IDとパスワードは別々の紙に分けて管理する
②電子ファイル(パスワード付き)で保管する
③パスワード管理ソフトを利用する
以下に③について詳しく説明しています。
Webサービスのパスワード 管理していますか? お勧めのパスワード管理とはhttps://netyougo.hatenablog.com/entry/2018/07/31/112003
(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)
他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。
(4) パスワードを定期的に変更する
知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。
(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策)
ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに流出するのを防ぎます。
(6) パスワードを強化する2段階認証を活用する
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない
パソコンにパスワードが残ると悪用され危険だし、このようなパソコンにはウイルスが潜んでいる可能性があります。
(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)
通常、このようなことを電話などで確認しません。無視しましょう!
ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。
(9) パスワードや個人情報などを要求するメールは無視する(フィッシング詐欺対策)
銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。このようなメールは無視してください。
システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワードを盗む詐欺があります。個人情報を要求するメールは無視して、メールのURLを決してクリックしない。
(10)口座やクレジットカードの明細を定期的にチェックする。
どんなに注意しても、不正に利用されている場合があります。クレジットカードなどの明細は、おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺にあったりしていないか監視してください(不正な請求がないか確認)。
■■□―――――――――――――――――――□■■
パスワードを悪用する方法とは?
■■□―――――――――――――――――――□■■
(1) 手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」
これは、考えられるすべてのパターンをリストアップし、パスワードを変化させながら、パスワードを解読しようする試みのことです。
パスワードを見破る攻撃で、桁数の短いパスワードは、簡単に見破られるそうです。
”英字4桁のパスワードは約3秒”
”英字6桁のパスワードでも約37分”
パスワードを作る際は、英字の小文字・大文字、数字を混合させ、桁数を多くし(12桁以上)、複雑にする必要があります。
(2) 不正に入手したパスワードを使って不正アクセス「パスワードリスト攻撃」
最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。
サイトA~Cで、同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。
(3) ウイルスやフィッシング詐欺による不正アクセス
他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、そのため、セキュリティソフトを使用し、ウイルス対策、スパイウェア対策をしっかり行うことが必要です。
インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。犯人は、インターネットバンキングユーザーのパソコンに、何らかの方法でウイルスを感染させ、パスワードなどを入力させて、犯人に送信し、犯人はそのパスワードを使って正規ユーザーになりすまし、不正送金を実行します。
また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイトにユーザーを誘導し、パスワードなどを入力させて盗みます。
(4) 電話などでパスワードを盗むソーシャルエンジニアリング
ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。この手法でパスワードを盗まれる場合も多いので、注意が必要です。代表的な例は以下です。
(1) パスワードを入力するところを背後から盗み見する
(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す
(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す
(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す
(5) ごみをあさって、個人情報や機密情報などを入手する
ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。
■■□―――――――――――――――――――□■■
不正アクセス対策に、2段階認証を活用しよう!
■■□―――――――――――――――――――□■■
Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法で、万が一パスワードが盗まれても大丈夫なWebサービスを安全に活用する最強の方法です。
2段階認証時に使用する“セキュリティコード”は、自分が持っているスマホでないと「セキュリティコード」が発行できないため、Webサービスを他人が不正利用する危険性が極端に少なくなります。また、この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。
「2段階認証」、とても面倒なようですが(正直慣れるまでは面倒です)、一度慣れてしまうと、意外と楽に操作できます。
詳しくは、以下を参照ください。
【2段階認証】とは、Webサービスを安全に活用する最強の方法