パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

　なお、全てのパスワードを紙に書いて管理すべきということでもない。管理するパスワードは、万一流出した時の脅威や損害の大きさを考慮して「松」「竹」「梅」の3つ程度に分けておく。例えば、このITmediaには記事を印刷したりPDF化したりできるサービスがあるが、利用するには無料のID登録が必要で、パスワードを求められる。ビジネスモデルとしては、とても理解できるのものなので筆者も正直に登録している。

　もしここから流出したとしても、その危険性は極めて低い。他人が筆者になりすまして記事の内容を印刷したからといって、何か実被害があるわけではないと想定される。つまり、こういう種類のものでは「梅」に分類して、パスワードは「111111」など簡単でも構わないだろう。

　ところが、通信販売サイトなどのパスワードになると違ってくる。クレジットカードの利用上限額が低いWebサイトでは、幾らかの金銭的な被害が起こり得るのでパスワードを「竹」に分類して管理する。パスワードは個別に設定し、文字列が途中まで同じだとしても、例えば最後から2文字はシーケンスにしてもいい（例えば「%s7K8T00」として他のWebサイトでは「00」の次を「01」とする）。

　そして、ネットバンキングなど直接現金に影響するものは、「松」に分類して個別に管理する。このように重要度や想定される影響、被害に応じて分類、管理すれば、パスワードが数十、数百種類あってもすっきりする。人によってはパスワード管理ソフトを使うのも有効だろう。

　企業内パスワードの管理は、就業規則や作成法などで決められていることがほとんだ。そこは確実に守るとして、一般的にパスワードの強度は次の法則に基づいて設定したい。

　パスワードの桁数が決められていないなら、桁数は多くする。例えば「15桁まで」がシステムの限界なら15桁のパスワードにすること。比較的単純な文字の集合でも、文字がバラバラの7桁のパスワードよりは、英字だけの15桁のパスワードの方がはるかに破られにくい。

　また、特殊文字の入力が可能なら必ず特殊文字を複数混在させておく。これによって「辞書攻撃（頻繁に使われる文字列のリストをあてはめてログインを試行する攻撃）」を無効化できるし、攻撃の難易度は格段にアップする。

　このほかに企業ができる防御策はあまりなく、すぐできる範囲では「厳罰」程度しかない。従業員が会社のパスワードを私的に利用したり、その逆を行ったりしてその形跡が発見された時は、懲戒免職を含む厳罰の適用を懲罰委員会で検討する。その証拠のため自宅で利用するPCの調査を拒否できないようにする（誓約書で事前に承諾を得るようにしておくこと）。

　パスワードの使い回しがこれだけ危険だと言われていても、トレンドマイクロ調べでは93.1％のユーザーが使い回しているという。これが実態である。せめて読者の方々は、リスクマネジメントの観点から絶対にしないでいただきたい（上記の「梅」ランクのものはこの限りではないが）。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

萩原栄幸