ポール神田 × 辻 伸弘 ネットセキュリティ対談 10人に1人がパスワードを「1234」に設定! その危険性とは?

特集記事

ネット詐欺が年々、巧妙化の一途を辿っている。無料通話・メッセージアプリ「LINE」のアカウントを乗っ取り、登録されているユーザに「自分の代わりにプリペイドーカードを購入してほしい」などと送信する「LINEのっとり詐欺」も記憶に新しい。また、パスワードの流出や個人情報の漏洩といったニュースも相次いでいる。 詐欺や乗っ取りの被害に遭いやすい、危険なパスワードはどういうものなのか? 自身も詐欺に遭ったことのあるポール神田が、ネットワークセキュリティのエバンジェリストである辻伸弘氏(ソフトバンク・テクノロジー株式会社)に話を聞いた。

ポール神田(以下、神田) 利用登録の際にIDとしてメールアドレスを使うサービスやサイトが増加しており、また1人でいくつも登録しているケースが大半です。そこで問題になっているのが、単純なパスワードを設定し、さらにそれを使い回してしまうことです。

ポール神田

辻伸弘(以下、辻) 複数のサイトでパスワードを使いまわしている場合、利用サイトのひとつで不正ログインが行われたユーザID、パスワードが摂取された場合に、他サイトも一網打尽にログインされてしまう、という問題が起こります。

辻伸弘

神田 ただ、パスワードに対する危機管理は広まっていないのが現状で、アメリカのデータ分析会社「DataGenetics」がクレジットカード340万件を対象に調査したところ、10人に1人は「1234」に設定しているそうです。また「1111」など単純なものや自分の誕生日、メールアドレスに含まれる英単語や数字を流用するケースも多い。やはり簡単に破られてしまうものなのでしょうか?

 数字4桁のパスワードだと、1万回試せば必ず当たります。これは「ブルートフォースアタック」「総当り攻撃」と呼ばれる方法で、ツールを使い自動的に行うことが可能。ただ最近は、特定のパスワードを使っているIDを狙う「リバースブルートフォース攻撃」のほうが多いですね。

神田 それはどういうものですか?

 「SplashData」が発表した2013年に漏洩したデータを集計した結果、最も使われたパスワードは「123456」で、そのデータの元の1つになったAdobeの漏洩パスワードの集計結果だけでも「123456」は190万件以上もありました。特定のIDに不正ログインしたいケースを除けば、IDひとつひとつのパスワードを破っていくよりも「123456」を使っているIDを見つけ出すほうが手取り早く、効率もよいと考えられます。こういう攻撃のことをリバース攻撃やリバースブルートフォース攻撃と呼ばれます。

神田 つまり、ピンポイントで自分が狙われたわけではなくても、不正ログインされてしまうということですか。

 そうです。また、どこかから漏洩したIDとパスワードを使って、他のサイトへのログインを試みる......という不正ログインも増えています。俗に言うリスト型攻撃というものですね。IDとパスワードのリストは売買もされているんですよ。

ポール神田 × 辻 伸弘 - ネットセキュリティ対談

神田 安全性を高めるためには、複雑なパスワードを考え、サイトごとに異なるものを設定する必要がありますね。ただ、管理が大変そうです。

 ソフトを利用するといいでしょう。私はパスワード管理ソフトを使っています。お金がかかるものもありますが、今の時代の必要経費といえるのではないでしょうか。無料のソフトもあるので、自分に合ったものを探してください。ハードルが高いと感じる人は、紙の手帳に書いておくのもいいと思います。ポイントは、パスワードを全て記述しないことです。例えば、最初には「$」、最後には「¥」をつけたことだけ覚えて置き、手帳には「B8s$39」とメモする。実際のパスワードは「$B8s$39¥」なので、もし落としたとしても即悪用されることはありません。手帳紛失のリスクに備え、コピーをとって自宅に保管しておき、なくしてしまったらすぐにパスワードを変更できるようにしておくと万全です。