IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードとその管理方法について注意喚起をしている。

大きな情報漏えいが続く

すでにマスコミなどの報道でお気づきの方もおられると思うが、最近、悪意を持った攻撃者による情報漏えい事件が相次いでいる、なかでもゲームネットワークを狙った事件では、流出した個人情報の量が1億人分と、その数が極めて膨大なことが注目されている。さらに攻撃者は、関連会社のシステムも攻撃対象にし、実際に流出した内容などをネット上に公開している。

また、3月11日の東日本大震災を悪用したフィッシング詐欺なども横行している(先月の記事を参照)。これらも、寄付などを募るふりをして、クレジットカード情報などを盗み出そうとするものである。個人情報が不正に盗み出されると、どのような被害が考えあれるのであろうか?まずは、なりすましである。

IDとパスワードさえわかれば、本人になりかわって各種の手続きを行うことが可能になる。攻撃者の口座へ送金することも不可能ではない。また、身に覚えのない請求なども予想される。このように、個人情報が漏えいすることで、大きな被害が予想される。さらにIPAでは、IDやパスワードを使い回すことがさらに危険性を増大させると警告している。

IDやパスワードの使い回しの危険性

IDやパスワードの使い回しの背景を考えてみたい。オンラインサービスの多くで、IDとパスワードによる認証が行われる。もちろん、本人であることを確認するための重要な手続きである。しかし、いくつものサービスを利用していると、サービスごとに固有のIDやパスワードを設定すると覚えきれない。そこで、多くの方がどのサービスでも同じIDやパスワードを使うことが行われる。これが、使い回しと呼ばれるものだ。IPAでは、IDやパスワードの使い回し危険性について、図1のような具体例をあげている。

図1 IDやパスワード使い回しによる危険性の具体例(IPAのレポートより)

ここで利用者は、A社からC社のすべてでIDやパスワードの使い回しているとする。2つの危険性があるが、まずはA社で情報漏えいが発生したとする。使い回しをしていると、不正に取得されたIDとパスワードでB社にも攻撃者はログインできてしまう。また、C社では、攻撃者が総当たり攻撃や辞書攻撃を行った場合である。短く、辞書にもあるような言葉をパスワードにしている場合、パスワード破られ、IDやパスワードが盗まれてしまう。このようにして盗まれたIDとパスワードで、先ほどと同様にB社やA社のサービスにもログインされてしまうのである。

なりすまし対策の基本

IPAでは、なりすまし対策の基本は、パスワードの強化・保管・利用の3点に集約できるとする(図2)。さらに、この3点はすべてきちんと守らなければならないとしている。

図2 なりすまし対策(IPAのレポートより)

まず、パスワードの強化であるが、総当たり攻撃や辞書攻撃に対抗するものだ。「1234」などといった単純なもの、さらには辞書に載っているような言葉は、このような攻撃に対し、非常に弱い。強いパスワードとして、

  • 英字(大文字、小文字)・数字・記号など使用できる文字種すべてを組み合わせる
  • 8文字以上にする
  • 辞書に載っているような単語や名前(人名、地名)を避ける

といった工夫をしてほしい。このように強化されたパスワードは、一方で覚えにくいという欠点もある。そこで、パスワードの保管方法である。ありがちなのは、PCにIDとパスワードのメモを貼り付けることがあるが、そこでは、

  • パスワードをメモするときは、IDと別々にする

をすべきである。もし、パスワードが知られたとしても、どのIDに対応するパスワードなのかがわからなければ、なりすましは困難になる。さらに、

  • 定期的に棚卸しをする

古いIDを放置していると、時間をかけてパスワードを破られる危険性が高まる。利用しないサービスには登録解除することも考えるべきである。最後のパスワードの適切な利用であるが、以下の点に注意すべきとしている。

  • ネットカフェなど、不特定多数が利用するPCでは、IDやパスワードを入力しない

不特定多数が利用するPCには、パスワードを盗むウイルスが仕掛けられている可能性もある。いくら強力なパスワードを設定しても意味がない。また、オンラインバンキングなどでは、

  • ワンタイムパスワードなどのサービス(二要素認証、二段階認証など)を利用する

といった対策も効果的である。仮にパスワードを盗まれても、使い捨てなので、悪用されることがない。ただし、ワンタイムパスワードを生成するトークンなどを決して他人に渡さないなども注意すべきことである。さらに、ログインアラート機能(ログインしたことを通知する機能)を使い、身に覚えのないログインアラートメールが届いた場合は、即座にアカウントをロックすることにより、被害を最小限に留めることができる。

これら以外の対策

まずは、セキュリティ対策ソフトである。ネットカフェでもふれたが、入力したIDやパスワードを盗み取るウイルス(キーロガー)も存在する。いくら強いパスワードにし、管理を厳格にしても、ウイルスに感染しては意味がない。そして、ウイルス定義ファイルを最新の状態に保つ、OSなどの脆弱性の解消も怠らないようにしたい。最後に、IPAでは、ブラウザのIDやパスワードを保存する機能についても注意すべきとしている。ウイルスによっては、この情報を盗むものもあるとのことだ。便利な機能ではあるが、パスワードを盗まれるリスクを減らすためには、利用しないことも検討すべきであろう。