公開日:2024年4月15日
オンラインサービスの普及によって、さまざまなサービスのID・パスワードを持っている人は少なくありませんが、各種オンラインサービスの「鍵」であるID・パスワードが、第三者によって窃取され、悪用されるケースが後を絶ちません。
そこで重要なのは、簡単に見破られないパスワードを設定し、それを厳重に管理することです。
ここでは、見破られやすいパスワードの特徴や、適切な設定・管理方法についてご紹介します。
ID・パスワードが漏洩することによる主なリスクは、「不正アクセス」です。
不正アクセスとは、悪意のある第三者によって行われる犯罪行為で、個人情報の悪用や金融データの搾取を目的として、不正な方法でコンピューターに侵入することをいいます。
外部から不正アクセスを受けると、次のようなリスクが高まります。
金銭の取得は不正アクセスの主な目的の一つです。
不正アクセスされたWEBサイトに銀行口座やクレジットカード情報が登録してある場合、口座から預金が引き出されたり、預金が第三者に送金されたりするほか、クレジットカードがECサイトなどで不正利用される可能性があります。
WEBサイトに登録している氏名や住所、電話番号、顔写真といった個人情報の漏洩も、よくある不正アクセス被害のひとつです。
漏洩した個人情報は、「ダークウェブ」と呼ばれる匿名性の高いWEBサイトで売買され、詐欺などの犯罪に利用される可能性があります。
LINEやX(旧Twitter)、FacebookをはじめとするSNSのID・パスワードが漏洩した場合、アカウントを乗っ取られ、勝手に操作されることがあります。
アカウント乗っ取りによる被害としては、SNSに登録していた個人情報が流出したり、アカウントの持ち主の社会的評価を落とすような悪意のある投稿をされたりするほか、本人になりすまして金銭を盗み取るためのメッセージを他者に送りつけるといったことが挙げられます。
警察庁が2023年に公表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、2022年の不正アクセス行為の検挙件数は491件。前年より83件増加しています。
不正アクセスの手口は、大きく下記の2種類に分かれます。
①
他人の識別符号(ID・パスワードなど)を不正に利用し、
オンラインサービスなどにアクセスする手口
②
ソフトウェアやOSに存在する不具合や脆弱性など、セキュリティ上の弱点を突き、
マルウェア(※)で攻撃を仕掛ける手口
2022年に検挙された不正アクセス行為491件のうち、①の手口を使った犯行が482件と、全体の90%以上を占めているのです。
さらに、①の手口で不正に利用されたID・パスワードの入手経緯は、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最も多く、全体の半数近くを占めています。
つまり、パスワードの設定・管理方法次第で、不正アクセスのリスクは大幅に下げることができるはずなのです。
多くの人が、仕事やプライベートで複数のオンラインサービスやシステムなどを使用しているため、覚えやすくて管理がしやすいパスワードを設定したいと考えているのではないでしょうか。
しかし、サイバー犯罪者はそうした心理を突いて攻撃を仕掛けてくるため、注意が必要です。
次に、漏洩する危険性が高いパスワードの特徴をご紹介しましょう。
単純なパスワードは、不正アクセスに用いられる「総当たり攻撃」などと呼ばれるパスワード解読法で、簡単に推測されます。
特に狙われやすいのは、下記のようなパスワードです。
狙われやすいパスワードの例
推測されにくい複雑なパスワードを設定していたとしても、複数のWEBサイトで同じパスワードを使い回している場合、不正アクセスの被害が拡大するリスクが高まります。
サイバー攻撃の手口のひとつに、何かしらの方法で入手したID・パスワード情報を用いて、さまざまなWEBサイトに不正にログインを試みる「パスワードリスト攻撃」というのがあります。
それにより、1つのオンラインサービスでパスワードが漏洩した場合、ほかの同一パスワードで登録しているWEBサイトにも不正アクセスされる可能性があるのです。
WEBサイトのID・パスワードをパソコンに記憶させておけば、ログイン時の入力の手間が不要になるため、とても便利です。
ただし、セキュリティの観点ではとても危険。
例えば、何らかの方法でハッカーが自身のパソコンにアクセスすれば、ブラウザにID・パスワードを登録しているWEBサイトを簡単に利用できてしまいます。
パスワードの漏洩を防ぐ絶対的な方法はありませんが、見破られにくいパスワードを設定することは可能です。
そこで、推測しにくく、サイバー犯罪者が使うパスワードを解読する方法を用いても割り出されにくいパスワードを作る方法を見ていきましょう。
サイバー犯罪者にかかれば、英文字4桁を見破るのは簡単なこと。
しかし、桁数や使用する文字の種類が多くなればなるほど解読しづらくなるため、それらをできるだけ増やすようにしましょう。
具体的には、英文字の大文字・小文字、数字、記号を組み合わせて10桁以上が目安です。
自身の名前と生年月日といった個人情報を組み合わせた文字列、既存の単語や固有名詞も、見破られる可能性があります。
さまざまな文字の種類を用いて、まったく意味のない文字列を設定するようにしましょう。
まったく意味をなさない長い文字列を自分で作るのは意外に難しいもの。
そんなときは、パスワード生成ツールを使うと、単体で意味をなさないランダムな文字列を作成できます。
桁数、使用する文字種などを設定できるツールもあるため、自分で思いつかないときは活用するといいでしょう。
パスワードの設定方法も大切ですが、それが漏洩しないよう、適切に管理する必要があります。
紙に記録したり、デバイスに保存したりする場合も、絶対に他者に見られないよう、厳重に管理しましょう。
また、使用しているID・パスワードをまとめて管理できる「パスワード管理ツール」を利用するのも一つの手です。
設定・管理を慎重に行う必要があるのは、クレジットカードの暗証番号も同じです。
店頭でクレジットカードを使用する場合、暗証番号の入力のほかに、手書きのサインでも決済が可能です。
しかし、サイン決済では、クレジットカードの所有者以外でも偽造カードや盗難カードで決済できてしまう懸念から、暗証番号入力をスキップしてサインで本人確認をする取引を2025年3月までに原則廃止し、暗証番号の入力が必須になります。
暗証番号は券面から情報を得られず、複数回誤った番号を入力するとロックがかかるなど、セキュリティは強固になっていますが、油断は禁物。
暗証番号が漏洩してしまえば、不正利用につながります。
そのため、パスワードと同様、簡単な数字、生年月日など個人情報にまつわる数字は避け、意味をなさない数字に設定して安全性を高めましょう。
au PAY カードの暗証番号の変更方法はこちら
オンラインサービスの利用が一般的になっている今、サービス側のセキュリティはより強固になっています。
一方で、不正アクセス被害の多くが、利用者のパスワード管理の甘さに起因していることを踏まえると、今後は利用者自身のセキュリティ意識を高めることがより一層求められるといえるでしょう。
不正アクセスを防ぐためには、まずWEBサイトへログインする「鍵」となるID・パスワードの設定・管理方法を見直すことが大切。
今回ご紹介した設定方法を参考にしてパスワードの強度を高め、管理方法にも気を配ることで、不正アクセスのリスクは大幅に低減できるはずです。