元刑事が解説 思わぬところからパスワードが流出しているかも……危険性と今からできる自衛策とは

[山根厚介，Fav-Log]

※本記事はアフィリエイトプログラムによる収益を得ています

　インターネットでさまざまなサービスを利用する際にはパスワードが欠かせません。管理しなければならないパスワードが多すぎて、簡単なパスワードを使ったり、同じパスワードを使い回したりしている方もいるのではないでしょうか。

あなたのパスワードも流出している？

　しかしパスワードの取り扱いが不適切な場合、パスワードの流出により思わぬ被害を招く可能性もあります。今回は、元刑事である筆者の視点から、パスワードが流出する理由や対策について紹介します。

山根厚介

東北大学中退後、15年間警察で勤務。在職中は主に刑事部門を担当し、鑑識や初動捜査、知能犯罪捜査などを手がける。在職中に日商簿記2級、2級FP技能士、情報セキュリティスペシャリストなどの資格を取得。警察を退職後ライターとして活動を始め、前職や資格をいかして情報セキュリティなどIT関連や家計の節約に関する記事などを手がけている。

→著者のプロフィールと記事一覧

あなたのパスワードも流出している？

　もしかしたら、あなたが使っているパスワードはすでに流出しているかもしれません……。流出しているかどうかを調べる手段の一つとして、「Have I Been Pwned」というWebサイトを紹介します。

　このサイトでは、メールアドレスやパスワードを入力すると、それらが流出している可能性の有無を回答してくれます。

「Have I Been Pwned」などを使うことでメールアドレスやパスワードが流出している可能性を調べられる（出典：Have I Been Pwned）

　筆者も普段使用しているパスワードをいくつか入力してみたところ、幸いなことにパスワードは流出していませんでした。しかし、メールアドレスは流出している可能性があるとの回答が……。このように、本人が気付かないうちにパスワードなどの個人情報が流出している可能性は十分にあるのです。

パスワードはなぜ流出するのか

　そもそも、なぜパスワードが流出してしまうのでしょうか。その原因はいくつか考えられます。ここでは代表的な理由を3つ紹介します。

パスワードが弱い

　まず、パスワード自体の問題です。パスワードを他人が推測できそうな簡単なものにした場合、「辞書攻撃」と呼ばれる手法でパスワードが見破られることがあります。例えば、パスワードを「12345678」のような単純な文字列にしたり、郵便番号や番地など住所に関連したものにすると、パスワードが予測され悪用される危険性が上がるでしょう。

フィッシング詐欺などで流出

フィッシング詐欺が行われる流れ（出典：フィッシング対策ガイドライン）

　しかし、パスワードを強力なものにしていた場合でもパスワードが流出してしまうことがあります。

　「フィッシング詐欺」という手法を聞いたことはないでしょうか。フィッシング詐欺とは、実在する会社を装って標的となる人物へメールを送り、本物そっくりのWebサイトへ誘導して、IDやパスワードを入力させるものです。

　2023年に入ってからだけでも、Amazonや国税庁をかたるフィッシング詐欺が相次いで報告されています。この手法の場合、自分でパスワードを入力してしまうので、いくら強力なパスワードを設定していたとしても意味がありません。

利用しているサービスから流出

　自分が利用しているサービスがハッキングされるなどして、パスワードが流出するケースもあります。前述した「Have I Been Pwned」で、筆者のメールアドレスが流出していると判定されたのもこのケースでした。最近では、2023年1月にTwitterの利用者2億人以上分のデータが流出した事例を記憶されている方もいるのではないでしょうか。

　この場合も、パスワードを強力にしたとしても意味はありません。後ほど詳しく説明しますが、パスワードの使い回しを止めることが最も良い対策となります。

パスワードの流出により起こる実害

　パスワードが流出すると具体的にどのような実害が発生するのでしょうか。2018年に発生したドコモオンラインストアへの不正アクセス事件では、他社から流出したID・パスワードのリストが使われました。約1800件のアカウントに不正ログインされ、うち約1000件でiPhone Xを不正購入される被害に遭っています。

金銭的な被害が発生する可能性も

　このように、パスワードなどが流出してIDが乗っ取られた場合、乗っ取られたIDで決済やポイント利用ができる場合は、そのIDが使えなくなるだけでなく、金銭的な被害が発生する可能性があります。

パスワードの流出を防ぐための対策

　パスワードの流出を防ぐための対策はいくつか考えられます。ここでは2つの方法を紹介します。

パスワードを強力にする

　まずは、パスワードを強力なものにしておくことが大切です。危険なパスワードとして、以下の例が挙げられます。

• 個人情報（例：名前、生年月日、住所、車のナンバー）
• 単純な単語（例：password、internetなど辞書に掲載されている単語）
• 同じ文字の繰り返し（例：111111）
• 分かりやすい文字の並び（例：12345678、qwerty）
• パスワードが短すぎる（例：1nt、ord）

　強力なパスワードにするには、アルファベット・数字・記号を組み合わせて、できるだけ長いものにするとよいでしょう。

パスワードを使い回さない

パスワードの使い回しは危険（出典：インターネットの安全・安心ハンドブックVer5.00）

　私たちは、インターネットやATM、マイナンバーカードなど、多くのパスワードを取り扱う必要があります。たくさんのパスワードを管理するのは大変なため、同じものを使ってしまうこともあるでしょう。しかし、パスワードの使い回しは大変危険です。

　パスワードを使い回していると、実際に流出した場合に、同じパスワードを使用している他のサービスも危険にさらされます。そのため、パスワードは流出するものだと想定して、サービスごとにパスワードを設定することが大切です。使い回しをやめれば、パスワードが1つ流出したとしても、被害を最小限に抑えられます。

強力なパスワードを管理する方法は？

　ここまで、パスワードを強化することや使い回さないことがパスワード流出の対策になると説明しました。しかし、パスワードが増えると管理が大変です。パスワードを暗号化せずにパソコンへ保存すると、情報が流出する危険性があります。

　安全なパスワード管理法の1つに、専用ソフトの利用があります。専用ソフトではIDやパスワードが暗号化して保存されるため、万が一データが流出してもパスワード自体が漏洩する可能性は低いでしょう。パスワードはソフトの起動に必要なものだけを覚えておけば良いため、管理が非常に楽になります。

KeePassの操作画面（出典：KeePass Password Safe）

　筆者は「KeePass」というソフトを利用しています。パソコンで作成したパスワードリストは、スマートフォンからも開けるため便利です。ただし、これらのソフトの中にはセキュリティに問題があるものもあります。利用実績がしっかりしているソフトを選ぶ必要がありますが、実績のあるソフトでも、ときにはセキュリティの問題が発見されることがあります。

　「KeePass」でも、2023年5月に脆弱性が指摘され、アップデートにより対策が施されました。ソフトのセキュリティを保つためには、最新バージョンにアップデートすることも重要です。

今売れている「ウイルス対策・セキュリティソフト」をチェック！

30日間無料でお試し　音楽聴き放題！

音楽聴き放題「Amazon Music Unlimited」