パスワード使い回し&「123456」とか正気の沙汰じゃない|英数字8桁でも不正ログインされた話

不正ログイン

昨日突然Google神から

Googleアカウントに不正なログインがあったぞい

とのメールが届きました。

Googleから、不正ログインがあったとのメール

ん?

↓身に覚えはなく最近のアクティビティをチェックすると、、、

4日前にログインされていた・・・

おぅふ・・・

がっつり不正なログインされてるじゃないっすか(汗)

しかもすでに4日前にログインされていたとは・・・。

なぜかその時点ではGoogleからメールは来ず。

どちらにしろGoogleに不正ログインされるのは恐ろしすぎる・・・なんたってデータの重要性が高すぎる。

スポンサーリンク

不正ログインされた原因はパスワードの弱さ

最近2段階認証を導入したばかりなのになんで不正ログインがあったんだ?

と不思議だったんですが実はメインのGoogleアカウントではなくむかし他の用途で使っていたGoogleアカウントでパスワードが適当なものだったんです。

今見るとそのパスワードは

  • 英単語みたいになってて総当り攻撃に弱そう
  • 文字数が8文字
  • 2段階認証なし

applepi1

↑こんな感じのパスワードになってました。人力では解読できないかもしれないけど総当りしたら簡単に破れそうっちゃ破れそう。

そりゃぁ不正ログインされても仕方ないというセキュリティの甘さでした。

もう4年近く放置してたのでまったく把握できてません。

もっとも使われるパスワードは「123456」

ただし世の中のセキュリティ意識はまだまだ低いのが現状でパスワード管理アプリ「SplashData」が発表したデータによると最も使用されているパスワードはなんと数字の「123456」。これなら人力でも簡単に解読できてしまいます。

以下Announcing Our Worst Passwords of 2015 | TeamsIDからの引用で2015年に最も使われたパスワード上位25個です。

順位 パスワード 2014からの変動
1 123456 ±0
2 password ±0
3 12345678 ↑ 1
4 qwerty ↑ 1
5 12345 ↓ 2
6 123456789 ±0
7 football ↑ 3
8 1234 ↓ 1
9 1234567 ↑ 2
10 baseball ↓ 2
11 welcome
12 1234567890
13 abc123 ↑ 1
14 111111 ↑ 1
15 1qaz2wsx
16 dragon ↓ 7
17 master ↑ 2
18 monkey ↓ 6
19 letmein ↓ 6
20 login
21 princess
22 qwertyuiop
23 solo
24 passw0rd
25 starwars

やはり数字(赤文字)単語(青文字)が大部分を占めていて残りは単語では無いけどキーボードで押しやすい位置のパスワードがあります。

そりゃぁこんなパスワード使ってたら不正ログインされても文句が言えないですよねぇ。

ほとんどの人はパスワードの使い回しをしている

トレンドマイクロのアンケート結果を見るといかにセキュリティ意識が低いかがよくわかります。赤信号みんなで渡れば怖くないという状態。

参考:-パスワードの利用実態調査 2014-  約7割が自分のパスワード管理にセキュリティ上リスクがあると認識 4割以上がパスワードを手帳やノートにメモして管理 | トレンドマイクロ


img by http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140609010140.html

アンケート結果のグラフを見たらわかるとおりほとんどのユーザーがパスワードの使い回しをしていてすべてバラバラのパスワードにしている人は6.9%しかいません。世の中のセキュリティ意識ってそんなもんです。

でもパスワードの使い回しってほんとに危険なのでやるならリスクを理解してやらないと金銭的な被害まで発展してしまっても全部自己責任なので洒落になりませんよ。

弱いパスワード」&「パスワードの使い回し

この2つの条件が揃ったら僕みたいな素人でも個人情報を抜き取ったりお金を取ったりできるレベルのリスクがあります。

すぐにパスワード変更と2段階認証設定

自分のGoogleが不正ログインされてしまった話に戻りますが30分後くらいにパスワードを1Passwordで生成したランダムで強固なものに変更。そして2段階認証を設定しました。

使いまわししていたパスワードを変更

今回不正ログインされたパスワードはどうやら他にも4つのサービスで使い回ししてたみたいなのでパスワードを変更したりアカウントを削除したりしました。

使いまわししていたサービスは重要なものではなかったのでGoogle→Amazon→Yahoo!みたいに芋づる式に破滅的な被害を被ることはありません。

もしパスワードの使い回しをしていた場合は一度バレたパスワードは非常に狙われやすくなるので他のサービスで使っている場合は絶対に変更しないといけません。

パスワードの使い回しは本当に危険

これ不正にログインする立場から見ると当然なんですが、

パスワードを使いまわしてる人はセキュリティに対する意識が低いですよね。

だから面倒臭がってパスワードを使い回ししている可能性が高くGoogle以外のサービスでも同じメールアドレスとパスワードでログインできるか試みられてしまいます。

パスワードを覚えるのが面倒くさいのはごもっともなんですが管理の手間と危険性を比べてもどう考えてもパスワードは使いまわさないほうが身のためです。それでも面倒くさいんですけども。

少なくともGoogle・Amazon・Apple・EverNote・Dropboxなどの有名で重要なデータが入っている可能性が高いサービスでは同じパスワードを使わないのはもちろん他のサービスとも重複しないパスワードを使わないと突破された時のリスクがとても高いです。

ヒューマンエラーのほうがよっぽど危険

こうして見るとウィルス対策ソフトの良し悪しよりもヒューマンエラー(セキュリティ意識)のほうがよっぽど危険ですよね。

  • 総当り攻撃で簡単に突破できるパスワード
  • 個人情報から推測できるパスワード
  • 同じパスワードの使い回し
  • ふせんにパスワード書いてパソコンに貼る
  • メモ帳にパスワード全部書いてパソコンの近くに置いている
  • メールでパスワードを送信する
  • 出所がわからないメールのリンクを警戒無しにクリックする
  • 出所がわからないサイトのURLを確認しない

などなど書いたら切りがありませんけど不正ログインする側もヒューマンエラーを狙ったほうが簡単だからセキュリティの意識が低い人は常に狙われてしまいます。

ランダムで強固なパスワードが作れる管理ソフトを利用する

なのでせめてパスワードを作る時はランダムな文字列を生成してソフトで管理したほうがセキュリティが高くなり手間も減らせます。

ラストパスはパソコンとスマホ両方無料。ただし両方のデータを自動で同期するためには有料のプレミアム会員が必要。

1Passwordはスマホ版だけ無料。パソコン版が有料。

パソコン・スマホどちらか片方しか使わないのであれば無料で使えるほうをとりあえず始めるのがおすすめ。詳しい使い方などはこのブログで説明しきれないので「1Password 使い方」などでGoogle検索して探してみるべしです。

<関連>
2段階認証を導入してみたけどそもそも1段階目も重要

スポンサーリンク

このページのシェア・保存はこちら

『パスワード使い回し&「123456」とか正気の沙汰じゃない|英数字8桁でも不正ログインされた話』へのコメント

  1. 名前:タコス 投稿日:2014/05/31(土) 22:15:03 ID:f6fbf77e6 返信

    いつも為になる記事を書いて頂き、ありがとうございます。

    不正アクセスですか・・今まであまり気にした事がなかったのですが、この記事を読んでからちょっと怖くなりました。
    正直に言いますと、パスワードはほとんど使い回しです。ヽ(;▽;)ノ

    人ごとでは無いので、自分もしっかり対策をしようと思います。。

    • 名前:パソ活 投稿日:2014/06/18(水) 20:19:48 ID:79d2685cb 返信

      おっとー!返信してませんでしたすいません!コメントありがとうございます。

      >正直に言いますと、パスワードはほとんど使い回しです。ヽ(;▽;)ノ
      →いやー、本当に最近の不正アクセスはパスワードの使い回しを意図的に狙ってるものが出てきて、ニュース記事にもそう書いてある部分があるので、やっておいたほうが良い、っていうかやらないと危ないレベルだとは思いますねー。

コメント(本文のみでOK。URL含むコメントは承認待ちになります)

メールアドレスが公開されることはありません。