覚えるのはたった1つの文字列だけ!?目からウロコなパスワードの作り方

銀行のオンラインアカウントやSNSまで、複数のアカウントを持つことが多い現在、覚えておけないからと同じパスワードを使い回す人も多くいるはず。ですが、そのパスワードの使い回しこそがセキュリティの落とし穴なのだそう。

2014年からJPCERTコーディネーションセンターが提唱している「STOP！パスワード使い回し！キャンペーン」に賛同するDeNAでは、DeNA CERTを設置し、社員・サービス利用者への適切なアカウント管理を呼びかけています。

そこで今回、日々サービスのセキュリティ強化に努めるシステム＆デザイン本部セキュリティ部の渡邊幸絵（わたなべゆきえ）、岡田数馬（おかだかずま）の両名に、「パスワードの使い回しが危ない理由」や「安全なパスワードの作り方」などを聞いてみました。

パスワードの抜き取りで起こるリスクとは？

▲DeNAにおいて、セキュリティ相談や啓発活動を担当している渡邊幸絵（左）、脆弱性診断やログインの異常検知を担当する岡田数馬（おかだかずま）

ーーパスワードの使い回しは良くないと知っているものの、自分は大丈夫と思いがち。パスワード情報を悪用しようと企てる人たちに情報が流出してしまうとどのようなリスクが想定できますか？

渡邊：一番わかりやすいリスクとしては、SNSやショッピングサイトで同じID・パスワードを設定している場合に金銭的被害が出ることです。最近ではショッピングサイトを日常的に使うことも増えているので、クレジットカードを登録している人も多いはず。カード情報を都度入れなくても、サイトが保持しているので簡単に不正利用されてしまうというわけです。

岡田：そこで抜き取られるのはお金だけではないんです。個人情報も見放題なので、それを売買など悪用される可能性もあります。

渡邊：SNSに不正ログインされると、勝手に身に覚えのない商品をSNS上の繋がりのある人に勧めたり、カメラロールに入っているプライベートな写真を投稿されたりする被害もあるみたい。プライベートな情報が出てしまうのは、困るし恥ずかしいですよね。

ーーそれは嫌ですね！パスワードを設定するサイトは、セキュリティがしっかりしているイメージがありますが......。

出典：JPCERTコーディネーションセンター

岡田：脆弱なサイトというのはどうしても存在するので、そこで抜き取られた情報からリストが作られてしまうんです。そのリストに、抜き取った情報をマッチングさせていくのが「パスワードリスト攻撃」というもの。コンピューターのシステムを使って膨大な数のアカウントに攻撃を仕掛けるので、パスワードを使い回していると、ここでマッチングが起きてしまうんです。

ーーと言うことは、パスワードは使いまわしてもIDを変えていたら、アタックを受けにくいのでは？

岡田：ID・パスワードのセットでアタックするリスト型の攻撃について言えばそうかもしれません。しかし、パスワードによく利用される文字列などを機械的に色々試して情報を抜き取る「辞書攻撃」と呼ばれる攻撃パターンもあるので、そう言った場合は想定されやすいIDで試されることも多く、やはりパスワードをきちんと設定することが大事になります。

複雑な「パスワードの素」を作ることが大事

ーー使い回すリスクはわかりました。では、どんな風にパスワードを作れば抜き取られにくく覚えやすくなるのでしょうか？

渡邊：「桁数」と「文字種」をたくさん使って複雑なパスワードを作るのが大事です。財布を落としたとしてもバレないような、パーソナルな情報を組み合わせるのがオススメですよ。例えば、ペットの名前と飼い始めた日や、兄弟の名前や誕生日など。自分の誕生日だとどこかに漏れた情報から推測されることもあるかもしれませんが、兄弟やペットの情報なら他人にはわかりにくいですよね。

ーーそれなら自分も覚えやすくていいかも！より安全にするにはどうしたらいいですか？

渡邊：複雑なパスワードを作っても、リスト型攻撃をされたら1つ抜かれた時点で、全てバレてしまいます。だから、1つマスターパスワードを作って、サイト固有のパスワードに微調整して複数パターンにするのが、強いパスワードの作り方だと言われています。アナグラムのようなイメージでサイトごとにルールを決めて、文字を組み替えたりするんですよ。

ーー例えば飼っている２匹の犬の名前が太郎と次郎で、飼い始めた日が3/14だとして、「tarojiro0314」のようなパスワードを作ったとします。太郎と次郎の名前の順番を置き換えるのもパターンとしてアリですか？

岡田：そうですね......。リスト型攻撃だったら別のパスワードと認識されるので有効かもしれませんが、辞書型や人の手が関わったときには、単語の認識は容易いことです。あくまで、意味を持たない文字列を組み替えることを意識したほうがいいでしょう。

渡邊：あとは、文字の置き換えもいいですね。例えば、数字を英字や記号に置き換えるなどが有効です。サイトによっては、記号が入らないところもあると思うので、普段のパスワードでは「!」を使っているところを「i」にするとか。

岡田：「a」を「＠」にしたり、「０(ゼロ)」を「O(オー)」、「３」を「E(e)」にしたりね。ちなみに、僕はベースになる文字列だけ記憶しておいて、サイトごとに規則を決め、それをメモに残しています。「写真共有サイトでは記号を数字にする」とか。もし誰かにメモを見られても、何のことかわからないのでより安全性は高いかなと。

渡邊：複数のパスワードを自動生成して一括管理できるアプリもあるみたいですよ。

岡田：アルゴリズムを作ってくれるアプリもあるみたいですが、それ自体がスパイウェアという可能性も捨て切れないので、自分で作るのが一番安心ですね。

ーーところで、「こまめにパスワードは変更したほうがいい」と聞いたことがあるのですが、それについてはどうですか？？

渡邊：3世代前に使っていたパスワードは使わないほうがいいということと、こまめにパスワードを変更したほうがいいと言われている時期もありました。でも最近ではこまめに変更した結果、パスワードとして強い文字列のパターンが少なくなると言われています。

岡田：そうそう。なのでこまめに変えなくてもいいような、複雑なパスワードを作ることが大切だという風潮になってきていますね。複雑なパスワードにして忘れたら再設定するほうが、安全度も上がるといわれています。

サービスが提供するセキュリティ対策には参加を

ーー安全なパスワードを設定したと思っても抜かれてしまうことってあると思うのですが、そのリスクをなるべく減らす方法はありますか？

出典：JPCERTコーディネーションセンター

岡田：セキュリティについて、サービスが提供しているものはできるだけ使うことをオススメします。例えば、普段と違う端末からログインした時に、メールでお知らせをくれる「ログインアラート」は、不正ログインに気付きやすいですね。他、ワンタイムパスワードを使った2段階認証なども有効ですね。最初は面倒に思うこともあると思いますが、慣れだとは思うのでぜひ使って欲しいですね。

渡邊：ちなみにMobageでは、「秘密の質問」の設定と「ログイン中の端末」から過去3か月のログイン履歴を確認できる機能を実装しています。また、リスト型攻撃の傾向を分析して攻撃が行われていても早期に検知して被害を抑えるような取り組みも行っています。

岡田：万が一、抜き取れてしまったときには早く気付けたほうがいいですからね。

身近な 「危険」に気づいて安全なパスワード生活を

渡邊：SNSでよくある、性格や相性を「診断」するサイトなどにも危険が潜んでいることも。それに参加することで、自分がどんな情報を提供するのか、きちんと把握した上で遊ぶことも大切です。そういったサービスに参加して、もし情報が抜き取られてしまったとしても、パスワードを使い回さないことで被害に遭いにくくなります。

岡田：ノマドワーカーなども増えている中、社外でメールチェックする機会は今後も増えていくと思います。DeNAでも社外からメールなどをチェックするときは、2段階認証をいれています。最初は面倒に感じても、慣れれば苦にならないし安全だと好評です。日常から、セキュリティ意識を高めてもらえると嬉しいですね。

ーー今すぐ私の簡単すぎるパスワードを再設定したくなりました......！ためになるお話、ありがとうございました。

パスワードを使い回しに潜むリスクを、より具体的に感じたのではないでしょうか。使い回してしまう最大の理由である「覚えていられない」という懸念も、今回のパーソナルな情報でマスターパスワードを作り、それをサイトによって調整して使うことでかなり解消できるはず。この機会に、ぜひご自分のパスワードを見直してみてくださいね。

STOP!!パスワード使い回し!!キャンペーン2017： https://www.jpcert.or.jp/pr/2017/pr170002_detail.html