パスワードの安全活用と悪用を防ぐポイントとは

「パスワードを複雑にしているから安全」と考えていませんか? 実は、私はそう考えていました。しかし、同じパスワードを複数サービスで使っていると、いくら複雑にしてもダメです。

 

最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても役に立ちません。

 

また、パソコンやスマホがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。

 

今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。また、パスワードを悪用する方法についても紹介します。

 

なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがあります。これを利用することで、パスワードを強化し、「パスワードリスト攻撃」も防ぐことができます。これについても簡単に紹介します。

 

■■□―――――――――――――――――――□■■

パスワードを守り安全活用するためのポイントとは

■■□―――――――――――――――――――□■■

 

これから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、大事な個人情報やお金を守ることにつながります。特に、(1)~(5)は重要な内容ですので、注意下さい。

 

(1) 見破られにくいパスワードを使う

 

良いパスワードの基本は、

”英字の小文字・大文字、数字を混合させ、12桁以上にする” ことです。

その他、以下に注意することが大事です。

①「123456」のような単純なパスワードにしない

②パスワードには辞書に載っている単語を使わない

③パスワードには自分の誕生日・名前などの個人情報を使わない

④会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける

 

(2) パスワードは人目に触れないよう十分注意して管理する

①紙のメモ(IDとパスワードは別々の紙に分けて管理する

②電子ファイル(パスワード付き)で保管する

③パスワード管理ソフトを利用する

 

以下に③について詳しく説明しています。

Webサービスのパスワード 管理していますか? お勧めのパスワード管理とはhttps://netyougo.hatenablog.com/entry/2018/07/31/112003

 

(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)

他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。

 

(4) パスワードを定期的に変更する

知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。

 

(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策)

ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに流出するのを防ぎます。

 

(6) パスワードを強化する2段階認証を活用する

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

 

(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない

パソコンにパスワードが残ると悪用され危険だし、このようなパソコンにはウイルスが潜んでいる可能性があります。

 

(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)

通常、このようなことを電話などで確認しません。無視しましょう!

ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。

 

(9) パスワードや個人情報などを要求するメールは無視する(フィッシング詐欺対策)

銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。このようなメールは無視してください。

システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワードを盗む詐欺があります。個人情報を要求するメールは無視して、メールのURLを決してクリックしない。

 

(10)口座やクレジットカードの明細を定期的にチェックする。

どんなに注意しても、不正に利用されている場合があります。クレジットカードなどの明細は、おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺にあったりしていないか監視してください(不正な請求がないか確認)。

 

■■□―――――――――――――――――――□■■

パスワードを悪用する方法とは?

■■□―――――――――――――――――――□■■

 

(1) 手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」

 

これは、考えられるすべてのパターンをリストアップし、パスワードを変化させながら、パスワードを解読しようする試みのことです。

パスワードを見破る攻撃で、桁数の短いパスワードは、簡単に見破られるそうです。

”英字4桁のパスワードは約3秒”

”英字6桁のパスワードでも約37分”

パスワードを作る際は、英字の小文字・大文字、数字を混合させ、桁数を多くし(12桁以上)、複雑にする必要があります。

 

(2) 不正に入手したパスワードを使って不正アクセス「パスワードリスト攻撃」

 

最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。

 

サイトA~Cで、同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。

 

サイトA・・・ログイン ID=abc パスワード=xyz12345

サイトB・・・ログイン ID=abc パスワード=xyz12345

*サイトAとID・パスワードが同じ

サイトC・・・ログイン ID=abc パスワード=xyz12345

*サイトAとID・パスワードが同じ

 

このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。

 

(3) ウイルスやフィッシング詐欺による不正アクセス

 

他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、そのため、セキュリティソフトを使用し、ウイルス対策、スパイウェア対策をしっかり行うことが必要です。

 

インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。犯人は、インターネットバンキングユーザーのパソコンに、何らかの方法でウイルスを感染させ、パスワードなどを入力させて、犯人に送信し、犯人はそのパスワードを使って正規ユーザーになりすまし、不正送金を実行します。

 

また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイトにユーザーを誘導し、パスワードなどを入力させて盗みます。

 

(4) 電話などでパスワードを盗むソーシャルエンジニアリング

 

ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。この手法でパスワードを盗まれる場合も多いので、注意が必要です。代表的な例は以下です。

(1) パスワードを入力するところを背後から盗み見する

(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す

(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す

(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す

(5) ごみをあさって、個人情報や機密情報などを入手する

 

ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。

 

■■□―――――――――――――――――――□■■

不正アクセス対策に、2段階認証を活用しよう!

■■□―――――――――――――――――――□■■

 

Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法で、万が一パスワードが盗まれても大丈夫なWebサービスを安全に活用する最強の方法です。

 

2段階認証時に使用する“セキュリティコード”は、自分が持っているスマホでないと「セキュリティコード」が発行できないため、Webサービスを他人が不正利用する危険性が極端に少なくなります。また、この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。

 

「2段階認証」、とても面倒なようですが(正直慣れるまでは面倒です)、一度慣れてしまうと、意外と楽に操作できます。

 

詳しくは、以下を参照ください。

 

【2段階認証】とは、Webサービスを安全に活用する最強の方法

https://netyougo.hatenablog.com/entry/2018/03/04/181812

 

f:id:yougo-school:20180506173846j:plain