パスワード使い回しの危険性|パスワード管理ソフトで解決できるのか

最近、パスワード管理ソフトの「1Password」をバージョンアップしたんですが、そう言えば世間では「弱いパスワード」&「パスワードの使い回し」が当たり前のようにされているので、

それがどれだけ危険なことか書いてみようと思います。

パスワードを使いまわしすると、具体的にどんな時に危険で、悪用されたらどれだけ面倒なことになるのか知っておけば、少しは使い回しをやめようと思うでしょう。

使い回しが原因の被害

パスワードの使い回しをしなければ防げた被害を載せておきます。

どんなに難しいパスワードを設定していても、使い回しすると防げません。

どのくらいのリスト型攻撃による被害が発生しているのか一覧は「パスワードリスト型攻撃で公表されている被害事例まとめ | ジャムヘルパー – jamhelper」というページが見やすいです。

数十万件以上の大規模だった事例は以下のようなものがあります。

リスト型攻撃は「パスワードを使いまわししない」か「2段階認証を使う」しか防ぐ方法がなく、企業側で未然に防ぐことができません。

使いまわししているだけで非常に危険な状態に常にさらされているので、この先をよく読んで、絶対に使い回しはやめましょう。

スポンサーリンク

最もよく使われるパスワードは弱いものばかり

世間一般の人はパスワードの意識が低いんだな、ということがよく分かる分析結果があります。

数字だけのパスワード、簡単な英単語、キーボードで押しやすい文字の並びなどが上位を占めています。

さまざまなオンラインシステム、Webサービス等からハッキングされ盗まれた電子メールアドレスとパスワードのペアのリストのうち、暗号化されていない平文パスワードの解析を「.jp」ドメインのデータに関して行い、日本人がよく用いるパスワードのランキングを推定しホワイトペーパー「世界のハッキング事件による日本のアカウント情報漏洩分析 Volume 3:パスワードランキング」として公開した。

(中略)

約500万件の日本人と推定されるパスワードを分析した結果、全部で約81万4千種類のパスワードがあり、多い順10件は下記の通りとなった。

  • 1位「123456
  • 2位「123456789
  • 3位「asdfghjk
  • 4位「12345678」
  • 5位「password」
  • 6位「1qaz2wsx」
  • 7位「111111」
  • 8位「sakura」
  • 9位「1234」
  • 10位「123123」

引用:最も多くパスワードに使われた日本人女性の名前 | レスポンス(Response.jp)

そもそもこのページにたどり着く人なら上記のようなパスワードは使ってないと思いますが、もし使ってたら、すなわち“狙われやすい”ということです。

攻撃する側は、とりあえずこれらのパスワードを試せば、少ない回数で不正アクセスできる可能性が高くなります。

しかし、近年のリスト型攻撃のことを考えると、むしろ「パスワードの難しさ」ではなく「使い回ししていないかどうか」のほうが重要です。

パスワードの使い回ししている人の割合

次に、パスワードを使いまわししている人がどれだけいるのか。いくつかのアンケート結果があります。

↓トレンドマイクロ調査。515人。85.2%。

複数のWebサービスでパスワードを使いまわしているユーザは85.2%と、大半のユーザがパスワードを使いまわしていることがわかりました(図1)。前回2014年の調査時には、93.1%が使い回しをしていると回答しており(図1)、前回より7.9ポイント下がっていることから、パスワード管理への意識に多少の変化がうかがえるものの、未だに多くの利用者がパスワードを使いまわし、リスクの高い利用状況にあることがわかりました。

(中略)

パスワード使い回し

引用:-パスワードの利用実態調査 2017- パスワードを使いまわしている利用者が8割以上 | トレンドマイクロ

ーーー

↓カミアプ。調査人数が書かれてないけど、パーセンテージの端数が多いので、それなりの人数っぽい。79.91%。

自分のパスワードが流出していないか調べられるサイトが登場したということで、先日「複数のサービスで、1つのパスワードを使いまわしてない?」というアンケートを実施しました。

その結果…

  • 使いまわしちゃってる…:79.91%
  • ちゃんと別のパスワードを使ってるよ!:20.09%

なんと8割近くの方が「使いまわしている」と回答!

引用:パスワードを使いまわしている人は8割も!安全なパスワード管理方法は? | カミアプ | AppleのニュースやIT系の情報をお届け

ーーー

↓マネゴ総研。1288人。66.23%。

  • はい 66.23 %
  • いいえ 33.77 %

引用:マネゴ総研 – パスワードに関するアンケート : 「パスワードの使いまわし(同じパスワードを複数で使う行為)」をしていますか?

このような結果なので、パスワードを使いまわしする人のほうが多数派なのは確実です。

当然、そのような人たちを先に狙ったほうが攻撃成功する可能性が高いので、狙われやすくなります。

パスワード使い回しの危険性

なんだかパスワードを使いまわししている人のほうが多いので感覚が麻痺しちゃってますが、それがどれだけ危険なことなのか、具体的な例を出してみましょうか。

まず、日本で個人情報漏洩事件は毎日のように起きています。

参考:個人情報漏洩事件・被害事例一覧

被害1,000件以上のものだけでも1ヶ月に数回のペース。

そして、メールアドレスとパスワードを盗むことができたら、重要な個人情報がありそうなWebサイトでパスワードリスト攻撃を試みます。

参考:パスワードリスト攻撃とは?被害の原因と対策方法

パスワードを使いまわししていたら、この時点で個人情報の悪用・SNSアカウントの悪用・ポイントの不正使用・企業秘密の漏洩などに繋がります。

素人が手動でも不正アクセスできてしまうような脆弱性です。パスワード自体が長くて強固なものでも「使い回ししていたら意味がありません」。

どんなに強いパスワードでも、一つの流出をきっかけに、多くのサイトで不正アクセスを試みられるので、パスワードの使い回しそのものが危険ということを理解する必要があります。

どうやったらパスワードの使い回しをやめられるか

じゃぁセキュリティが強いパスワード運用ってどうすれば良いの?

ってことなんですが、パスワードの啓蒙記事としては以下のようなものがあって、強いパスワードの条件が書かれています。

安全なパスワードの条件

  • パスワードの文字列は、長めにする(12文字以上を推奨
  • インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
  • 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
  • 他のサービスで使用しているパスワードは使用しない

引用:STOP! パスワード使い回し!キャンペーン2018

つまり、十分な長さで記号なども入れた強いパスワードを、すべてのアカウントで別々に設定する必要があるということになります。

ただ、残念ながらそのような注意喚起をしても意味がありません。

パスワードを使い回す人は「異なるパスワードは忘れてしまう」「面倒」という理由で使い回すからです。

↓以下、使い回す人の理由。

  • 異なるパスワードを設定すると忘れてしまう 69.7%
  • 異なるパスワードを考えるのが面倒 45.3%
  • 使いまわしてもリスクはないと思っている 11.8%
  • その他 1.4%

引用:-パスワードの利用実態調査 2017- パスワードを使いまわしている利用者が8割以上 | トレンドマイクロ

「使いまわしてもリスクはないと思っている 11.8%」とあるように、リスクを理解していない人は意外と少ないということがわかります。リスクがあると分かってて使いまわししている人のほうが多いということです。

だから、「強いパスワードにしましょう!」「使い回しはやめましょう!」と、ユーザー側の努力を促しても意味がありません。

「強いパスワード」「使いまわししない」「面倒じゃない」という条件を満たす必要があります。

パスワードの定期的な変更は意味がない

セキュリティ向上のために、パスワードの定期的な変更を呼びかける銀行などがありましたが、これには意味がないというのが、今や常識になっています。

「人に自分でパスワードを選ばせれば、だいたいが安易なパスワードを選ぶ。覚えにくいパスワードの作成を強要すれば、大抵は自分の目に見える場所に貼っておく。パスワードの変更を強いれば、今あるパスワードを少しいじっただけの簡単に予想がつく修正を行う。そして新しいパスワードは忘れてしまう」。

引用:変わるパスワードの常識、変わらない実態 – ITmedia NEWS

というふうに、結局、パスワード文字列の運用を一般ユーザーにさせると、逆にリスクが高まります。

実際の運用では、後述するパスワード管理ソフトや生体認証を使わないと、セキュリティを向上させることができません。人間が運用する限り、文字列の管理だとダメなんです。

小さな会社だと、事務員のおばちゃんがパスワードのメモを液晶モニタに貼り付けてる光景を見かけることもありますね。

パスワード管理ソフト

「強固・面倒」「脆弱・簡単」について、ここまで書いてきたことと、認証技術を加えた表が以下のようになります。

面倒
強固
簡単
脆弱
長さ 長い 短い
英数字記号 含む 含まない
使い回し 使い回さない 使い回す
生体認証 する しない
2段階認証 する しない

パスワードを強固にすればするほど面倒になるので、この「面倒」をどうにかして「簡単」にするのが解決策になります。

  • パスワードの「長さ」「英数字記号」「使い回さない」はパスワード管理ソフトなどツール
  • 「生体認証」はスマホの指紋認証
  • 「2段階認証」は、指紋認証と組み合わせて

結局、何が言いたいのかというと、パスワード管理ソフトを使う。ということです。

面倒で使い回ししてしまう人にとってはこれが最も簡単な解決策になります。

  • 強いパスワードの自動生成
  • 使い回しが起きない
  • 自動ログイン(生体認証で簡単)
  • 記憶するパスワードはマスターパスワードだけ

というふうに、今まで書いてきたような、「面倒によるセキュリティの低下」を防げます。

ーーー

自分が使っている「1Password」は、機能は充実していてパソコン・スマホでの同期使用するなら使いやすい。月額3ドルほどですべての端末で利用可能。お金払うなら一番おすすめ。

LastPass(ラストパス)」は同じような使い勝手だけど、過去に大きな流出事件や脆弱性の発見があったので料金が同じなら微妙な印象。(もちろん他のソフトも脆弱性が見つかってないだけかもしれないけど。)

無料パスワード管理ソフト

bitwarden(ビットウォーデン)」というソフトが無料のパスワード管理ソフトとして話題になっています。

日本語対応していて対応端末も多く、完成度もかなり高いことから、今から導入するなら有力な選択肢になるようです。

参考:【SSS】bitwardenのダウンロードと自動入力の使い方

参考:【移行】1Passwordからbitwardenにインポート

「bitwarden」でGoogle検索するだけでも詳しく書かれたサイトがいくつかあるので、パスワード管理ソフトに興味が出てきた人は検索してみてください。

あとは無料のもので有名なのは「KeePass」。高機能だけど、日本語化や設定など、少し敷居が高い。

他にも「パスワード管理ソフト」で検索すればたくさんあるけど、安心なのかどうかの判断が難しいとか、データの置き場所がローカルとクラウドの違いによるリスクとバックアップの必要性とか、それこそ自己判断が必要になります。

なので、あれこれ悩むより、初めて導入する場合はbitwardenを検討してみるのがベターかなと思います。

まとめ

どのみち、文字列によるパスワード運用は、ユーザー側でパスワード管理ソフトを導入しないと面倒を減らせないので、セキュリティリスクを無くすことは不可能です。

「無料で、導入が簡単で、生体認証が使える機能がOS標準で搭載!」

されたら解決しますけど、それはMacの「iCloud キーチェーン」のように、Apple製品による囲い込みの影響を受けますし、何らかのコストや制約を受ける可能性があります。

今のところIT機器に慣れていない人にも普及する可能性があるのはbitwardenだけだと思います。

1Passwordは機能は何も問題ありませんが、有料のみという点だけが大きなハードルになっていて、何でも無料で済ませたいユーザーは足切りされてしまう。

ただ、bitwardenが有力だとは言っても、一般ユーザーのセキュリティ意識が「パスワード管理ソフト」という存在に気づく動線が無いと、根本的な解決は難しいでしょう。

実際、「ハッキングの被害に遭ったパスワードランキング」で毎年123456がトップになっていますが、それにも関わらず一般ユーザーには伝わっていません。

それを裏付けるような調査結果も発表された。世界でハッキングの被害に遭ったパスワードの中で、最も多かったのは「123456」だったというニュース。発表したのは英国のサイバーセキュリティ機関だったけれど、今回に限らず「123456…」は、各種の調査で何年も前から連続でワースト1に君臨し続ける最低なパスワード。つまり、そういう安易なパスワードはダメ、使い回しはやめましょう、と業界がどれだけ叫んでも、一般ユーザーには一向に伝わっていないのだ。

引用:変わるパスワードの常識、変わらない実態 – ITmedia NEWS

セキュリティに関する記事はセキュリティに関心があるユーザーしか見ないので、関心が無いユーザーにも見せるためにテレビも使わないと周知徹底は難しいでしょう。

せめてこの記事を読んで危機感を理解した人だけでも、パスワード管理ソフトを使いましょう。

スポンサーリンク

このページのシェア・保存はこちら

スポンサーリンク
スポンサーリンク
Amazonでの買い物について

当ブログではAmazonの商品をよく紹介しています。

いつもコンビニ払いしている人は、Amazonギフト券をチャージするとポイントが余分にもらえるので、今まで知らなかったという人は読んでみてください。

Amazonギフト券チャージタイプの詳細はこちら

チャージする金額によって0.5~2.0%ポイント付与され、プライム会員ならさらに0.5%上乗せされます。

ーーー

プライム会員の特典は「お急ぎ便無料」「プライムビデオで多数の映画やアニメ見放題」が特にお得。それ以外にも音楽・読書の使い放題サービスあり。

料金は年払い4,900円(月払い500円/月)で、世界的に日本だけなぜか破格の安さになっているので、配送・映像・音楽・読書など、一部でもよく利用する人なら非常におすすめです。

プライム会員の詳細はこちら

学生ならPrime Studentがさらにお得

著者のフォローはこちら

名前:
Twitter
YouTube

ーーー

制作物:「ノイズレスサーチ

プロフィール
問い合わせフォーム
当サイトご利用時の注意事項

記事が良いと思ったら、Twitterでツイートしたり、ブログなどで紹介してくださると嬉しいです。よろしくお願いします。

コメント(本文のみでOK。URL含むコメントは承認待ちになります)

メールアドレスが公開されることはありません。