アプリやWebサービスごとに必要となるパスワード。その増加によって、管理も煩雑になっている。ずさんなパスワードの管理はプライベートな情報の漏えいや、金銭的な被害にもつながりかねない。この記事ではパスワードが抱えるリスクと、パソコン、スマホそれぞれの適切なパスワード管理方法について解説する。
パスワードの重要性と抱えるリスク
日常生活で自動車を利用する場合には、鍵を用いることになる。鍵を持っているという事実が、所有している(あるいは、利用権を有している)ことを代替的に証明する。また、最近ではオフィスに入室する場合、IDなどを提示することが多いが、その所有をもって当人であることを証明している。厳格なところでは、IDの提示と併せてパスワード入力を行うケースもある。
こうした行為をスマートフォン(以下、スマホ)やパソコン上で行う際に一般的に利用されるのがIDとパスワードだ。利用開始前に自らが設定したIDやパスワードを利用時に用いることになる。ユーザー自らが設定し管理することを前提に、照合して一致すれば本人とみなされサービスを利用できる。しかし、インターネット上では、以下のように特有の問題がいくつか存在している。
通信の盗聴によるパスワードの窃取、詐取
インターネットは平文での通信を前提として成立している。そのため、暗号化されていない通信内容は経路上で盗聴されるリスクがある。近年では盗聴リスクを考慮して、パスワードはSSL/TLS経由の通信で暗号化され送信されることがほとんどとなっている。しかし、パスワードがすべて暗号化されているわけではないことに注意が必要だ。近年では、本物に偽装したフィッシングサイトでユーザーを信頼させ、パスワードを入力させる手口も多く見られる。
総当たり攻撃によるパスワード判別
簡単なパスワードであれば推測は容易だ。しかしながら、セキュリティの重要性が認識されるようになった今もなお、単純なパスワードを設定するユーザーは少なくない。また、攻撃者はある程度複雑なパスワードであっても、総当たり攻撃を用いることでパスワードを判別することも可能だ。
パスワードはこのようなリスクを有しながら、今でも認証手段の中心的な存在となっている。その理由は、システムを構築する側もシステムを利用する側も他と比較して負担が少ないからだ。しかし、最近ではパスワード以外の認証手段として、生体認証の導入も進んできた。また、複数の要素を用いて認証の精度を高めようとする多要素認証の導入も進んでいる。
ただし、当面は低コストで導入も容易なパスワードの利用が継続するものと想定される。改めて、認証の重要性を認識した上で、正しくパスワードを管理することが求められていると言えるだろう。
パソコン上でのパスワード管理に求められること
パソコン上でのパスワード管理を正しく行うために、以下の3点について留意するようにしたい。
パスワードの正しい設定
パスワードは、ユーザー本人以外には知らないものとすることで、セキュリティ強度は高まる。他人から推測されやすい、氏名、誕生日などの文字列では、パスワードの強度は著しく失われる。また、短い文字列や単語といったものだと、辞書攻撃・総当たり攻撃でパスワードを突き止められてしまう。最低でも15桁以上の数字やアルファベット、記号などを組み合わせたランダムな文字列の設定が望ましい。アプリケーションやWebサービスごとに、異なるパスワードを設定することにも留意したい。
パスワードの安全な保管
せっかく強度の高いパスワードを設定した場合でも、そのパスワードを安全に保管、管理しなければ漏えいのリスクが伴う。設定した本人以外が目にする可能性は極力排除すべきで、付箋にメモ書きしてパソコンに貼り付けるなど論外だ。業務利用のアプリの場合、エクセルファイルに一覧にして管理しているというケースもあるかもしれないが、もしファイル自体が漏えいした場合を考慮し、速やかに別の管理方法に改めるべきだ。
最近ではパスワード管理用のツールもあるため、それらの活用も検討したい。Webブラウザーの管理機能を利用するのも1つの方法だが、より安全性を高めたい場合は、セキュリティソフトに搭載されたパスワード管理ツールを利用すると良いだろう。
認証時の複数要素の利用
多要素認証とは、複数の要素を認証に用いることで、本人である正確性を高める方法だ。代表例として二要素(二段階)認証があり、スマホに送付されるワンタイムパスコードとパソコン上で入力するパスワードの併用パターンが多い。ワンタイムパスコードの代わりに、ドングルなど物理的なものが代用されることもある。パスワードのみの認証と比較すると手間がかかるが、安全性には代えられないという認識を持つようにしたい。
スマホ上でのパスワード管理に求められること
スマホ上でのパスワード管理についても、原則としてはパソコンのケースと同様だ。前述の基本的な管理を確実に実行することがベースとなるが、スマホならではの管理方法として以下の点に留意したい。
スマホを使った認証手段の利用
最近のスマホは、iPhoneのTouch ID、Face IDのように指紋認証や顔認証の機能が実装されている。そのため、アプリやWebサービスでもスマホの認証機能を流用できるものが増えている。指紋認証や顔認証は生体認証と呼ばれ、本人固有の情報として認証に活用されている。Googleのアカウントを用いる際には認証用のアプリも用意されている。認証が突破される可能性はゼロではないが、相対的なリスクを軽減できるため、積極的な活用を検討したい。
パスワード管理アプリの利用
アプリやWebサービスごとに複雑なパスワードを記憶しておくことは現実的ではない。そのため、iPhoneのキーチェーンをはじめ、スマホに搭載されているパスワード管理用ツールやアプリの利用を検討すると良い。ただし、スマホに標準でインストールされているものか、セキュリティソフトに付随しているものを利用するのが望ましいだろう。
フィッシング詐欺への注意
スマホを狙うフィッシング詐欺の場合、画面の大きなパソコンと比較すると、画面上に表示される情報量も少ないことから、詐欺を見抜くことが難しい傾向にある。そのため、攻撃者側もスマホユーザーに向けたSMSやSNS経由のフィッシング詐欺を積極的に仕掛けてきている。ユーザーとしてはそうした状況を踏まえて、不審なSMSやSNSのメッセージ上のリンクはクリックしないことを心がけたい。また、最近増えている大手配送業者を装った、早急な対応を煽るメールなどにも注意を払う必要があるだろう。
Googleアカウントでのパスワード設定
GoogleやTwitter、Yahoo!などのアカウントは、GmailやYouTubeといったそれぞれが提供しているサービスだけではなく、他社が提供するサービスでも、ログインアカウントとして利用できるものも増えている。いわゆるソーシャルログインと呼ばれるサービスで利便性の高さが特長だが、その反面、1つのアカウントが漏えいしてしまうと、複数のサービスにログインされるリスクを抱えている。
このような事態を回避するためにも、複数のサービスへのログインに利用しているGoogleなどのアカウントは、二段階認証の設定は最低限行っておきたいところだ。また、スマホの場合は「Google Authenticator」を利用することも検討すると良い。「Google Authenticator」とは、Googleにログインするためのワンタイムパスコードをアプリ上で生成することで、二要素認証に対応するアプリだ。スマホの固有情報をもとにパスコードを生成するため、圏外でも利用できるのが特長だ。
なお、スマホでの利用が前提となっており、パソコンで利用する場合には、サードパーティのツールを利用することになる。ただし、サードパーティのツールを利用する場合、そのツールが信頼性の高い事業者によるものかを確認するようにしたい。仮に、そのツールが悪意あるものに乗っ取られた場合など、パスワードが漏えいする可能性も否定できない。
パスワードの管理はセキュリティ対策の基本
昨今、さまざまなセキュリティ侵害に関するニュースが各種メディアで報じられている。オレオレ詐欺のような手口でもデジタルを悪用する手段が多様化するなど、深刻さは年々増している。今後もこういった動向は悪化する一方だろう。
セキュリティ対策の一丁目一番地はあらゆる脆弱性を解消しておくこと。類推しやすかったり、管理がずさんだったりするパスワードの取り扱いも1つの脆弱性と捉えることができる。そのためにも適切なパスワードを設定することに加えて、それらの管理は厳密に行うようにしたい。
