LinkedIn」や「eHarmony」、「Last.fm」、「League of Legends」、「Yahoo!」などの有名サイトにおいて共通する事柄を一つあげるならば、それは、いずれのWebサイトも大規模な情報漏えいの被害に見舞われ、数百万にも及ぶユーザIDやパスワードがオンライン上に流出したという点です。こうした事例は、ほとんどのインターネットユーザがいまだにいわゆる「安全でないパスワード」を使用しており、その多くが「1234」などのような簡単で短いパスワードのままであることを示しています。多くのユーザが「簡単に推測できるパスワード」を使用しているのです。事実、Yahoo!における個人情報漏えいの事例で45万人分ものユーザID・パスワードが流出した際、そのパスワードのほとんどが「12345」などのような簡単な続き番号を使用していたといいます。

残念なことに、こうした情報収集に関する攻撃は、一向に収まる気配がありません。収集した情報から金銭的利益を得られる限り、サイバー犯罪者たちは、これからも引き続き、ユーザのアカウント情報に対する収集活動を試みていくことでしょう。もしこのような情報収集の攻撃に見舞われても、「破られにくいパスワード」でしっかり守られているから大丈夫だという自信はあるでしょうか。ご使用のパスワードは、サイバー犯罪者たちのこうした攻撃に対処する強固な備えとなっていますか。

なぜ、パスワードは、守るべき非常に大事ものといえるのですか。

パスワードの考え方自体は、歴史的にもかなり古く、たとえば、「千夜一夜物語」の話の一つ、「アリババと40人の盗賊」の一節での「開けゴマ!」という言葉が、当時のパスワードに相当するものであることは容易に理解できます。この物語の内容をご存じであれば、盗賊たちがなぜこのような「パスワード」を用いる必要があったかはお分かりだと思います。「貴重なものや大事なものを守る」ということがその大きな理由です。

現代のパスワードも機能としては同じであり、オンラインにおける私たちの生活を守る鍵としての役割を担っているのです。オンラインバンクのアカウント情報やクレジットカードの情報といった重要な個人情報は、まさしく「パスワードにより守られている」というべきでしょう。これらの情報やデータは、いわば「40人の盗賊の宝物に相当するもの」であるともいえ、今日の生活でも同じく、「現在の盗賊たち」やサイバー犯罪者たちが、私たちの貴重な情報を手に入れようと画策しているのです。そしてユーザのデータや情報が収集されてしまうと、このことは、情報収集だけでなく、場合によっては金銭的損失といったサイバー犯罪の被害に誰しも見舞われる可能性があることになります。

パスワードの扱いを間違えそうになった場合は、以下の事実を思い起こすとよいでしょう。 

  • 情報漏えいは、3秒に一回の頻度で発生している。
  • 個人情報漏えいや詐欺の被害者数は、米国だけで810万の成人ユーザ数に達する。
  • クレジットカード詐欺によりカード利用者とカード会社が被った被害額は、年間5億米ドルに及ぶ。

ユーザのパスワードは、どのような攻撃や手口によりサイバー犯罪者たちに収集されますか。

  • ブルートフォース攻撃(総当り攻撃):サイバー犯罪者がパスワードを破る際、文字や数字や各種特殊文字のあらゆる組み合わせを自動的に実行して、目的のパスワードを特定化する方法のことです。通常、辞書の言葉を拾いだして行なわれ、「ブルートフォース(brute force)」という英語の「力づく」や「強引」といった意味から、このような名称で呼ばれています。また、この攻撃では、過去の特定化されたパスワードも登録されており、組み合わせの候補として利用されます。実際、過去に特定化に成功したパスワードは、すべてこの攻撃のデータベースに登録されて、組み合わせに利用されています。
  • ソーシャルエンジニアリングの手口による攻撃:サイバー犯罪者たちは、話題のニュースや、有名なブランド名、セレブリティ、世界的なイベントなどに便乗したソーシャルエンジニアリングの手口を利用して、ユーザからパスワードを収集します。また、こうした手口では、偽装された記事や、プロモ、懸賞なども、「エサ」として使用されます。その中でも「注意すべき事例」としてトレンドマイクロでも確認している脅威は、「ロンドンオリンピックの話題を扱った手口」、「偽のeBayページでiPhone 4Sを扱った手口」、さらには、「Diablo 3という待望のビデオゲームがダウンロードできると偽った不正サイトを利用した手口」などです。
  • 情報収集型マルウェアによる攻撃:要注意のマルウェアとして既によく知られている「ZBOT」をはじめ、こういった種類の情報収集型マルウェアは、侵入したコンピュータ上でキー操作情報を記録することで、ユーザの個人情報、中でもオンラインバンクのアカウント情報など、金銭に関連する個人情報を収集します。同じく注意すべきマルウェアとしては、「TSPY_GAMETHI.QJB」があげらます。このマルウェアは、同じ手法により、オンラインゲームのログイン情報を収集します。
  • フィッシングメールやフィッシングサイトを利用した攻撃:この場合、ユーザは、銀行やクレジットカード会社、その他のよく知られた正規の企業や組織・機関からを装ったメールを受信します。メール内には、受信したユーザのものとされるアカウント情報を更新するようにとの指示が記されており、同時に更新のためのフィッシングサイトへのリンクも含まれています。うっかりリンクをクリックしたユーザは、正規サイトそっくりに偽装されたフィッシングサイトへと誘導されます。このため、不注意なユーザは、本物のサイトと思い込み、このサイト上でアカウント情報の更新作業などを行なってしまい、結果として、ユーザの個人情報が収集されることになります。
  • データ漏えいの被害をもたらす攻撃:サイバー犯罪者たちや特定の犯罪グループは、企業のネットワークに侵入し、顧客情報や取引情報など、企業における業務上の機密情報を収集する攻撃を行います。過去においても数々の大手企業がこの被害に見舞われています。

パスワードには、よく知られた言葉を使うべきでしょうか。

「辞書に掲載されている言葉」や「誰もがよく知っている言葉」、「有名なブランド名の言葉」などの使用は避けた方がよいでしょう。一般的な言葉や語彙が使用されたパスワードは、サイバー犯罪者たちの主要手口であるブルートフォース攻撃により簡単に破られてしまうからです。したがって、「破られにくいパスワード」を決める際は、こういった点を考慮した言葉や語句や文の使用を工夫する必要があります。いわゆる「チンプンカンプンな言葉」を含んだパスワードほど、「破られにくいパスワード」ということになります。その意味では(英語話者のユーザの間でよく使われる方法ですが)たとえば、「IloveTwilightverymuch(訳:トワイライトが大好きです)」のような「単純で分かりやすい英語の一文をそのまま用いたパスワード」は、サイバー犯罪者に「簡単に破ってください」と言っているようなもので、ぜひとも避けるべきパスワード作成方法だということを認識しておくべきでしょう。

では、「破られにくいパスワード」を作るには、どのような方法がありますか。

様々な方法がありますが、1つあげるならば、自分だけが知っておくべき一文を利用するという方法です。この際、利用する一文は、自分自身にとってはできるだけ忘れにくい一文にしておく必要もあります。「自分だけの一文」を独創性を駆使して作成しても結構ですが、作成した一文は、しっかりと記憶に残るものにしておくことです。たとえば、次のような英語の一文を作成したとします。

Queen and The Beatles are my favorite bands of all time according to a random survey. (訳:クイーンとビートルズは、いつ聞かれても変わることなく私の一番好きなバンドです。)

もちろん、この一文をそのままパスワードに利用しても、上述のとおり100%安全とは言えません。次のステップは、この一文を構成しているそれぞれの単語の頭文字を抽出することです。そうすると、「QATBAMFBOATATARS」という文字列が得られ、これがいわば「パスワードの元」になります。ちょうど粘土細工で自分の好きなかたちを形成するように、この「QATBAMFBOATATARS」を変形させていくことが、さらに次のステップとなります。

変形の方法としては、大文字や小文字、数字、特殊文字などを混在させましょう。Webサイトによっては、パスワードに特殊文字の使用を認めないケースもありますので、その辺の注意や調整は必要ですが、基本的には、特殊文字が認められている場合は、必ず使用するようにしましょう。また、数字を使用する際は、「1234」や「98765」のような続き番号は避けるべきです。

そしてこれらの方法を駆使すると、「QATBAMFBOATATARS」を「Q@TB@mfB0@T@Tr$」へと変形させることができ、これを「破られにくいパスワード」として用いることができます。

作成するパスワードは、短かくても大丈夫でしょうか。

「短いパスワード」は避けるべきです。上記で作成したパスワードの場合、「8文字以上」というルールを用いましたが、専門家の間では、「14文字以上のパスワードは必要」とも推奨されており、その意味では、「ユーザの好みに応じてパスワードはできるだけ長くした方が良い」といえます。ただし、Webサイトによっては、パスワードの文字数が制限されているケースもあり、その場合は、「Webサイトが許す限りの最大文字数のパスワードを作成すべき」というルールにしておけば問題ないでしょう。ただし、これは単に「長いパスワードであればそれだけで安全である」ということではない点も留意が必要です。

オンラインで使用しているすべてのアカウントを同じパスワードで管理しても大丈夫でしょうか。

それは避けるべきす。せっかく「破られにくいパスワード」を作成しても、この管理方法により全てを台無しにしてしまう可能性があります。サイバー犯罪者は、一度でもパスワードを破ってユーザのアカウントへの侵入を果たすと、そのユーザが使用している他のすべてのアカウントへも同じ攻撃を仕掛けるからです。それぞれのアカウントに別々のパスワードを用いていれば、その点は大丈夫だといえます。

自分の名前やそれに類した個人的な情報を含んだパスワードを作成しても大丈夫でしょうか。

社会保障番号(アメリカ合衆国の市民や永住者・外国人就労者に発行される番号)などの重要情報や自分自身のフルネームなどをパスワードに使用したり、パスワードの一部として利用することは避けるべきです。ただし、飼っている犬の名前や、思い出深い旅行の地名、あるいは自分自身の日常生活に関する出来事の言葉などをパスワードに利用する程度であれば問題ないといえます。ただしその際も、そうした情報のパスワードへの活用は「自分だけが密かに知っていることであり、他人は全く知らない」という点だけは確実にしておく必要があります。

パスワードは、定期的に更新すべきでしょうか。

もちろん、定期的に更新してください。こうして更新作業を習慣化し、サイバー犯罪者たちが簡単に破ることができないようにしておくべきです。

全てのパスワードを覚えておくのは大変なので、どこかに書き付けておいても大丈夫でしょうか。

それは避けるべきです。パスワードをノートや紙切れなどに書き付けておくと、紛失や盗難の被害に見舞われる可能性があり、そうなると、パスワードを取り戻したり、再設定するのが厄介になるばかりでなく、アカウントが大きなリスクにもさらされるからです。

これに代わる最善の方法としては、トレンドマイクロの「パスワードマネージャー」など、パスワード管理用ソフトウェアの利用が有効でしょう。このソフトウェアは、パスワードを安全な場所に暗号化したかたちで保管してくれます。また、ユーザが使用している各デバイスへの同期をクラウド上で実行してくれるため、ユーザは、どこにいてもパスワードに関わる作業を安全かつ確実に行うことがでます。

サイバー犯罪によりパスワードが収集されてしまうと、どのようなことが起こりますか。

サイバー犯罪者は、収集したパスワードを悪用して多くの不正活動を行うことができます。たとえば、以下のようなものがあげられます。 

  1. パスワードを利用して得られるメールアドレスが、サイバー犯罪者たちのスパムメール送信先リストに含められてしまいます。これにより、ユーザには、大量のスパムメールが届くことになり、こうしたスパムメールを通してさらに深刻な脅威のリスクにさらされます。  
  2. オンライン上の作業が無断で実行されてしまいます。サイバー犯罪者は、収集したパスワードを利用して、ユーザが気づかない状態で勝手にオンライン・バンキングの取引やオンライン・ショッピングでの購買等を行います。
  3. 身分詐称が実行されます。サイバー犯罪者は、収集したパスワードのユーザの身分をかたることで、自分たちの不正活動を隠ぺいし、警察当局からの捜査を逃れようとします。
  4. 収集されたパスワードを含め、これを利用して得られた個人情報がアンダーグラウンド・マーケットで売りさばかれます。実際、「サイバー犯罪者たちが自分たちが収集した情報を他のサイバー犯罪グループに売りさばき、他のサイバー犯罪グループも購入した情報を自分たちの不正活動に利用する」という仕組みができあがっており、たとえば、セキュリティ専門家がアンダーグラウンド・マーケットに関する調査を行ったところによると、「PayPal」へのログイン情報が、アンダーグラウンド・マーケットでは、およそ1米ドルから5米ドルの価格で売り買いされているといいます。この点からも、仮に一日あたり数百以上のログイン情報を収集できた際の利益を考えただけでも、サイバー犯罪者たちにとっていかに魅力的であるかが理解できます。

以上、これまでの説明をまとめて、パスワードを作成する際の注意点をチェックリスト化すると以下のようになります。

パスワード作成の際のチェックリスト

  1. よく知られていない言葉や聞きなれない言葉を使用すること
  2. 特殊文字や数字も使用し、数字の場合は続き番号を避けること
  3. 14文字以上を使用すること
  4. オンライン上の各アカウントには、それぞれ別のパスワードを使用すること
  5. 定期的にパスワードを変更すること 
  6. パスワードの記憶には、パスワード管理ソフトウェアを利用すること