1. 情報セキュリティブログ ホーム
  2. 今すぐ見直したいセキュリティ対策
  3. 第3回 情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

パソコンやスマートフォンを安全に利用するために 今すぐ見直したいセキュリティ対策

第3回 情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう

IDとパスワードの管理は厳重に

パソコンやインターネット上の様々なサービスを利用する際に用いられる代表的な本人確認の仕組みが、IDとパスワードによる認証です。アクセスしてきたユーザーが本人であることを証明するために、本人しか知らないIDとパスワードを入力し、認証を行う仕組みです。最近では、サービス事業者などが保管するパスワード情報が大量に漏えいしたというニュースが報じられることがありますが、IDやパスワードなどのログイン情報は、本人であることを証明する重要な情報ですから、情報が漏えいしたときの被害は深刻で、影響が広範囲に及ぶ可能性があるのです。

IDとパスワードが他人の手に渡ると何が起こる?

IDやパスワードなどのログイン情報が漏えいすると、誰でも本人になりすますことが可能となるため、ネットショッピングで勝手に商品を購入されたり、インターネットバンキングを通じて別の口座に送金されるといった金銭的な被害に遭う可能性があります。また、他人にSNSのアカウントにログインされてしまうと、不正なサイトへ誘導したりマルウェアを拡散するような悪意のある投稿をされる(場合によっては犯罪行為に加担させられる)可能性もあります。

こうした機密情報であるパスワードを盗み出そうと、犯罪者が様々な手口を仕掛けてくるかも知れません。

パスワードの設定、管理は厳重に行おう

<推測されにくい複雑な文字列で>

パスワードの設定は、推測されにくい文字列にすることが大事です。大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定するようにし、以下のような文字列を設定することは避けましょう。

(1)辞典に載っている単語や、単語を逆に綴った逆スペリングの単語、よくあるミススペル、省略語など
(2)「12345678」「222222」「abcdefg」といった連続した文字または繰り返した文字、「qwerty」などキーボード上の隣にある文字、自分の名前や誕生日といった個人情報に関する文字列

<同じパスワードを使い回さない>

また、初期パスワードは必ず変更し、利用するサイトやサービスごとに同一のパスワードを使い回さないことです。

無料でメールアドレスが付与されるサービスなどの中には、メールアドレスの中にユーザーIDがそのまま使われていることがあります。この場合、容易に第三者からユーザーIDが推測される可能性がありますので、可能であれば、ユーザーIDかメールアドレスか、どちらかを変更しておくことが推奨されます。

<人目に付くところに書いておかない>

次に、パスワードの管理です。パスワードを書いたメモを、人目に付くところへ貼らないようにしましょう。場合によっては、手帳など他人に見られない場所に書いて保管することも有効です。その際は、他の文字を追加するなどして、生のパスワードをそのまま記入しないようにし、書かれたものがパスワードであることが他人から悟られないようにする工夫が必要です。

ID・パスワードを管理できる「パスワード管理ソフト」を利用することも一つの方法です。パスワード管理ソフトとは、複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できるソフトのことで、当該ソフトを利用するためのマスターパスワードを1つ覚えておけば、その他のパスワードを覚えておく必要がなくなるというメリットがあります。

さらに安全性を高めるために

<二段階認証などを利用しソーシャルエンジニアリングには注意>

上述した方法に加え、さらに安全性を高める方法をご紹介します。Googleをはじめとするサービス事業者の中には、アカウントのなりすまし防止のため「二段階認証」を提供しているところがあります。これは、ユーザー名とパスワードだけではなく、「セキュリティコード」と呼ばれる2つ目の認証コードを利用するもので、より安全な認証が可能になるものです。サービスに応じて、こうしたものを利用するとよいでしょう。

また、「ショルダーハック」と呼ばれる、肩越しに盗み見ることで、情報を盗み出す手法にも注意が必要です。これは、パスワードなどを入力する際のキー操作や画面を盗み見て、機密情報を盗み出す手口のことです。最近では、モバイル機器の普及によってスマートフォンやタブレット、ノートパソコンを持ち歩いて外出先や移動中の電車内などで情報を入力する機会が増えています。端末のディスプレイに「のぞき見防止フィルム」を貼付したりするなどして他人に画面を見られる危険性を低減する対策などが挙げられます。そして、電話やメールでID、パスワードを尋ねられても教えないようにしましょう。

<基本的なマルウェア対策を欠かさずに>

最後に、サービス利用時は、ログイン時にID、パスワードを入力する前に、Webブラウザーのアドレスバーのドメイン名を目視確認し、正規のサイトであるかどうかを確認するクセをつけましょう。そして、メール等の取扱いにも注意し、メールで送られてきたリンクや、SNS等に掲載されているリンクがどんなに魅力的でも不用意にクリックしたり、リンク先で個人情報を入力したりすることのないよう注意しましょう。

そして、マルウェア感染によるパスワード漏えいを防止するため、端末のOSやソフトウェアを常に最新の状態に保つ、最新のセキュリティソフトを導入してパターンファイルを最新に保つ、ブラウザーのプラグインやアドオンは最低限に絞り、最新の状態に保つといった基本的なマルウェア対策を継続することも大切なことです。

【参考】
現代のパスワード事情に迫る!攻撃者に負けない強固なパスワードの作り方(セキュリティ虫めがね)
パスワード漏えいのリスクは至るところに!社会人が気をつけるべきポイントとは(新入社員YO介のどうする?セキュリティ)
パスワードの保護 - オンラインで安全性とセキュリティを確保する方法 - 知っておきたいこと(Google)
パスワードの変更 | 安全性の高いパスワードの作成(マイクロソフト社)

【関連製品またはソリューションのご紹介】
統合認証・アクセス管理ソリューション
ID・アクセス権管理の一元化からユーザ認証強化までワンストップで提供し、業務効率化やセキュリティ対策、クラウド環境やモバイル端末への対応を支援します。

関連キーワード:
今すぐ見直したいセキュリティ対策の記事一覧

監修者プロフィール

監修者プロフィール

徳丸 浩(とくまる・ひろし)

HASHコンサルティング株式会社代表
京セラコミュニケーションシステム株式会社技術顧問
独立行政法人情報処理推進機構(IPA)非常勤研究員

1985年京セラ株式会社入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。Twitter IDは@ockeghem徳丸さんのインタビュー記事はこちら