1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた(1/3)

インターネット上のサービスのIDとパスワードが漏えいし、不正ログインが行われたというニュースが後を絶ちません。IDとパスワードは、サービスを利用するユーザーが本人であることを証明するための大切な情報です。ですから、パスワードは、「長く」「複雑な」文字列で設定し、同じパスワードを複数のサービス等で使い回ししないことが大事です。

しかし、セキュリティ対策企業が実施したWebサイトのパスワード利用実態に関する調査では、1ユーザーが利用するWebサイトのうち、パスワードでログインが必要なWebサイトは、平均で13.95サイトもあるという数字があります。それぞれに複雑な文字列で設定したパスワードを、十数個もとても覚えていられないというのが正直なところではないでしょうか。

本稿では、パスワードが破られるとどういう危険性があるのかという点と、"覚えずに"安心してパスワードを管理するにはどうしたらいいのというポイントについて、「セキュリティ防衛隊」の辻さんに解説していただきます。

パスワードが破られると、こんな被害に遭う可能性がある

★ 辻さんこんにちは。今日はIDとパスワードの話を聞かせて下さい。まず、攻撃者に自分のアカウントに不正ログインを許すことにより、どんなことが起こり得るのか、教えてください。
辻 伸弘隊長
こんにちは。IDとパスワードの話は大切ですから、連載第1回のテーマにはピッタリです。まず、パスワードが破られると、大きく以下の4つの被害に遭う可能性が考えられます。

一つ目は、「金銭的被害」です。これは、実被害としてもっとも目に見えやすいものですね。最近では、換金性の高いオンライン上のポイントが狙われる傾向があります。
★ オンライン上のポイントですか?
辻 伸弘隊長
例えば、マイレージやECサイトのポイント、ギフト券などです。ここで大事なことは、自宅に送付されるような物理的な品物や金券ではなく、ログイン後のマイページや自分のメールアドレスに直接届く、金銭的価値のあるデータが狙われる傾向にあるということです。自分のアカウントに不正ログインを許せば、他人が自分になりすましてこうしたデータを入手し、あとはそれを容易に転売するなり、足がつかないように換金することができるのですね。仮想通貨を含めて、いくらでも方法はあるようですよ。
★ 一番目の被害から目眩がしてきました。次の話を聞くのが怖いですが、二番目は何でしょう?
辻 伸弘隊長
二番目は「個人情報の被害」です。インターネット上のサービスに登録しているユーザーの個人情報も攻撃者のターゲットになっています。不正ログインの成功によって得られる個人情報、例えば、電話番号や誕生日、住所、クレジットカード番号(下4ケタ)などは、更なる攻撃に利用される可能性があります。
★ 具体的に、どういうことでしょう。
辻 伸弘隊長
上述した情報で本人確認を行っているサービスがあれば、例えば、電話口で本人になりすますことが可能な場合もあります。サポートセンターなどに電話をかけて「パスワードを失念した」と告げ、パスワードを勝手にリセットしたり、情報を聞き出して、アカウントを乗っ取ることも可能です。また、電話番号は、それ自体をユーザー名にしているサービスに対し、「リスト型攻撃」を行うときにも役立つ可能性があります。リスト型攻撃はあとで説明します。
★ 個人情報そのものも、金銭的な価値があるということなのですね。
辻 伸弘隊長
はい。個人情報を売買するマーケットも存在していますし、ひとたび自分のアカウントに不正ログインを許すと、アカウントに紐づく様々な情報資産が攻撃者に食い尽くされてしまう可能性があるのです。
★ では、三番目の被害は?
辻 伸弘隊長
「なりすまし」によるSNSやメールなどへの投稿、送信です。自分のアカウントが乗っ取られると、勝手に不適切な発言やメール等を投稿、送信され、これにより自分のアカウントが炎上したり、あるいは、犯行予告を勝手に投稿され、(自分がやっていないにもかかわらず)誤認逮捕される可能性などもあります。海外ではメディアのTwitterアカウントが乗っ取られ嘘のニュースを流すことで株価が暴落したこともありましたね。最近ではLINEのアカウントを乗っ取って、そのアカウントで友人に話しかけ電子マネーの購入をもちかけ騙しとろうという事件もありました。
★ なるほど、これも他人事とは思えません。金銭的な被害だけではないのですね。
辻 伸弘隊長
そうです。さらに、被害は友人にまで及ぶ可能性もあります。これが四番目の被害です。自分のアカウントに不正ログインを許すと、SNS等で繋がる友人がマルウェアに感染させられたりする可能性があります。また、三番目と四番目の被害については、自分がやっていない(他人になりすまされた)ことを証明するのが難しいという点が挙げられます。
関連キーワード:
21
参考になったらボタンを押してね
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji