Sony

サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

アカウント保護対策 (1) 「パスワード認証」の基本対策

インターネット上の会員制サービスのほとんどは、「ID」と「パスワード」による認証方式を採用しています。正しいIDとパスワードを入力することで「本人が操作している」とみなすので、これらを誰かに知られてしまうと、あなたになりすましてサービスを不正に使用されてしまうかも知れません。今回は、「あなたであることの証」となるIDとパスワードの役割を再認識するとともに、不正使用を防ぐための、さまざまな保護対策をご紹介します。

IDとパスワードの役割

「ID」は、システムがユーザーを識別するためのもので、システム側から付与される場合と、任意の名前や有効なメールアドレスなどをユーザー自身で登録する場合とがあります。いずれの場合も、個々のユーザーが識別できるように、「重複しないように付ける」ことが絶対条件です。

「パスワード」は、その「ID」の使用者が本人であることを識別するためのもので、ユーザー自身が任意の文字列を設定します。本人しか知らない情報を知っていることで本人確認を行うので、パスワードは「本人しか知らない」ことが絶対条件です。システムは「パスワードを知っている人=本人」とみなすので、何らかの事情で第三者にパスワードを知られてしまうと、本人になりすましてサービスにログインされ、情報漏えいや不正な投稿、金銭被害などに発展するおそれがあります。
IDとパスワードによる認証方式では、本人しか知らないはずの情報「パスワード」をいかに守るかが、不正使用を防ぐ最重要課題です。

パスワードを守る基本対策

パスワードが破られてしまう原因には、名前や生年月日などからの類推攻撃や、安易なパスワードを機械的に試行する攻撃、不正アクセスを受けたサイトやマルウェア(ウイルス)に感染したパソコンからの流出、フィッシングによる詐取など、さまざまなものがあります。そして、それぞれに有効な対策を講じることができます。

破られにくい「強いパスワード」の設定

類推や機械的な試行には、強固なパスワードの設定が有効です。①名前や生年月日、電話番号など推測されそうなもの、②「password」のような単純な単語、③「12345678」のような連続する文字や繰り返した文字を避け、できるだけ長いパスワードを作成します。長いパスワードは、覚えにくく入力も面倒ですが、長ければ長いほど機械的な試行への耐性が高く、覗き見にも強くなります。

文字数に制限がある場合には、大小英字、数字、記号を織り交ぜた複雑なパスワードを作成します。複雑なパスワードは、数字だけのパスワードの約半分の長さで、機械的な試行に対し同程度の耐性を得ることができます。多くのシステムは、8文字以上のパスワードを要求しますが、最小文字数で設定するような場合には、複雑なパスワードにしましょう。

パスワードを使いまわさない

不正アクセスを受けたサイトからの流出は、ユーザーには防ぎようがありませんが、流出情報を使って他のサービスに不正ログインされる事態がたびたび起きています。原因は、流出した情報と同じIDとパスワードを、「他のサービスでも使用していた」ことにあります。サービス毎に異なるパスワードを使用していれば、不正ログインの連鎖を防ぐことができます。

「2段階認証」の利用

大手の主要なサービスでは、IDとパスワードが盗まれても、それだけではサービスが利用できないように、もう一段別の認証手順を追加する機能を用意しています。複数の認証を行うものを「多段階認証」、記憶や持ち物、生体情報などの異なる複数の要素で行うものを「多要素認証」といいますが、一般には「2段階認証」と呼ばれることが多いので、ここでもそう呼ぶことにします。

2段階認証は、専用のハードウェアやソフトウェアを使用して生成する、またはメールやSMS、音声通話などで送られてくる、毎回変化するその場限りの「認証コード」を入力するのが一般的です。サービスによっては、専用のアプリや指紋認証などの生体認証を使うものもあります。


図1 「2段階認証」:確認コード入力方式(左)、承認方式(右)

早くから追加の認証手段を導入した個人向けのオンラインバンキングでは、送金などの重要な操作を行う際に追加認証を行いますが、SNSやポータルサイトでは、ログイン時に行うのが一般的です。使用するブラウザやアプリを登録することで、次回からの追加認証を省略することも可能です。

パソコンやスマートフォンに紐づく重要なアカウントである、アップル、グーグル、マイクロソフトのサービスをはじめ、ツイッターやフェイスブック、インスタグラムなどのSNS、ショッピングサイトのアマゾン、オンラインゲーム、仮想通貨取引所など、さまざまなサービスが2段階認証を導入し、安全性を高めています。不正ログイン防止に大きな効果が期待できるので、積極的な利用をお勧めします。個々の設定方法については、別の回にご紹介します。

マルウェア感染とフィッシング対策

マルウェア感染は、不正ログイン以外にも、さまざまな被害をもたらします。「ユーザーとサービスの間に割り込むタイプ」のマルウェアやフィッシングを仕掛けられると、安全なはずの2段階認証も破られてしまうことがあるので注意が必要です。

マルウェア感染は、「システムやソフトウェアを最新の状態に保つこと」と、「信頼できると確信が持てるとき以外は、絶対にファイルを開かないこと」を心がければ、ほとんどを回避することができます。

企業やサービスを装うメールなどで、本物そっくりの偽サイトへと誘導されるフィッシングは、ログイン時や個人情報、クレジットカード情報などの入力時に、必ずWebブラウザのアドレスバーに「錠前マークが表示されている」ことと、「正しいURLあるいは運営者名が表示されている」ことを確認すれば、ほとんどを回避することができます。

セキュリティソフトを導入していると、不審なファイルや不審なサイトをある程度検知してくれます。過信は禁物ですが、積極的に利用してください。

パスワード管理

いろいろな会員サービスを利用していると、破られにくい強いパスワードを使いまわさないように設定するのは、至難の業かもしれません。解決策の一例をあげると、強いパスワードをひとつ作り、そのパスワードにサービスごとに異なる文字を加えて、各サービスのパスワードにすると、重複しない強いパスワードが生成できます。共通のパスワードの部分を、いくつかのフレーズを自分なりのルールで加工するように工夫すれば、全てを暗記しておけるかもしれません。

暗記はあきらめて、メモしておくのもよいでしょう。紙のメモは、他人に見られた場合や落とした場合を想定し、自分にしか分からない書き方にしておきましょう。ファイルに保存しておく場合には、ファイルをパスワードで保護し、万一に備えてください。

システムやブラウザの管理機能を利用したり、専用の管理ツールを使用したりするのもよいでしょう。

システムやブラウザの管理機能

MacとiPhoneなどのiOS端末には「iCloudキーチェーン」、Windowsには「資格情報マネージャ」、Android端末には「Smart Lock」というパスワード管理機能が用意されています。それぞれシステムと各社のWebブラウザでログインしたWebサイトのアカウント情報などを一括管理します。異なる端末間で同じ保存情報を利用できるように、端末間で同期する機能もサポートしており、「Smart Lock」はMacやWindows用のGoogle Chromeとも同期します。

Firefoxも同様のパスワードの管理と端末間の同期機能を提供する「Firefox Sync」が用意されており、Windows、Android、Mac、iOSそれぞれのFirefoxから利用できます。

それぞれのブラウザでパスワード管理機能を使うには、次の手順で設定画面を開いてください(図2参照)。

<Edge>
Windows:[設定] → [詳細設定を表示] → [パスワードを保存する]
Android:[設定] → [パスワードの保存]
iOS:[設定] → [プライバシー] → [パスワードの保存を提案]
同期:Microsoftアカウントにログイン

<Internet Explorer>
Windows:[インターネットオプション] → [コンテンツ] → [オートコンプリート/設定]

<Safari>
iOS:設定アイコンから[Safari] → [自動入力]
Mac:[環境設定] → [自動入力]
同期:Apple IDにログイン

<Chrome>
Android/iOS:[設定] → [パスワードの保存]
Mac/Windows:[設定] → [詳細設定] → [パスワードとフォーム]
同期:Googleアカウントにログイン

<Firefox>
iOS:[環境設定] → [ログイン情報を保存]
Android:[設定] → [プライバシー] → [ログイン情報を保存する]
Mac/Windows:[オプション] → [プライバシーとセキュリティ] → [フォームとパスワード]
同期:Firefoxアカウントにログイン


図2 システムやブラウザのパスワード管理機能

パスワード管理ツール

ID/パスワードを保存して管理するための有料無料の専用ツールも多数リリースされています。ツールによって機能は異なりますが、ブラウザへの自動入力をサポートしたものや、ID/パスワード以外の情報も管理できるもの、別の端末間での同期機能をサポートするものなどがあります。

(執筆:現代フォーラム/鈴木)