最近、パスワード管理ソフトの「1Password」をバージョンアップしたんですが、そう言えば世間では「弱いパスワード」&「パスワードの使い回し」が当たり前のようにされているので、
それがどれだけ危険なことか書いてみようと思います。
パスワードを使いまわしすると、具体的にどんな時に危険で、悪用されたらどれだけ面倒なことになるのか知っておけば、少しは使い回しをやめようと思うでしょう。
パスワードの使い回しをしなければ防げた被害を載せておきます。
どんなに難しいパスワードを設定していても、使い回しすると防げません。
どのくらいのリスト型攻撃による被害が発生しているのか一覧は「パスワードリスト型攻撃で公表されている被害事例まとめ | ジャムヘルパー – jamhelper」というページが見やすいです。
数十万件以上の大規模だった事例は以下のようなものがあります。
- ユニクロ・GUの通販サイトにリスト型攻撃、不正ログイン46万件 氏名や住所、身体のサイズなど流出 – ITmedia NEWS
- 「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント
- 他社流出パスワードを用いた不正ログインについて‐ニコニコインフォ
リスト型攻撃は「パスワードを使いまわししない」か「2段階認証を使う」しか防ぐ方法がなく、企業側で未然に防ぐことができません。
使いまわししているだけで非常に危険な状態に常にさらされているので、この先をよく読んで、絶対に使い回しはやめましょう。
もくじ
最もよく使われるパスワードは弱いものばかり
世間一般の人はパスワードの意識が低いんだな、ということがよく分かる分析結果があります。
数字だけのパスワード、簡単な英単語、キーボードで押しやすい文字の並びなどが上位を占めています。
さまざまなオンラインシステム、Webサービス等からハッキングされ盗まれた電子メールアドレスとパスワードのペアのリストのうち、暗号化されていない平文パスワードの解析を「.jp」ドメインのデータに関して行い、日本人がよく用いるパスワードのランキングを推定しホワイトペーパー「世界のハッキング事件による日本のアカウント情報漏洩分析 Volume 3:パスワードランキング」として公開した。
(中略)
約500万件の日本人と推定されるパスワードを分析した結果、全部で約81万4千種類のパスワードがあり、多い順10件は下記の通りとなった。
- 1位「123456」
- 2位「123456789」
- 3位「asdfghjk」
- 4位「12345678」
- 5位「password」
- 6位「1qaz2wsx」
- 7位「111111」
- 8位「sakura」
- 9位「1234」
- 10位「123123」
そもそもこのページにたどり着く人なら上記のようなパスワードは使ってないと思いますが、もし使ってたら、すなわち“狙われやすい”ということです。
攻撃する側は、とりあえずこれらのパスワードを試せば、少ない回数で不正アクセスできる可能性が高くなります。
パスワードの使い回ししている人の割合
次に、パスワードを使いまわししている人がどれだけいるのか。いくつかのアンケート結果があります。
↓トレンドマイクロ調査。515人。85.2%。
複数のWebサービスでパスワードを使いまわしているユーザは85.2%と、大半のユーザがパスワードを使いまわしていることがわかりました(図1)。前回2014年の調査時には、93.1%が使い回しをしていると回答しており(図1)、前回より7.9ポイント下がっていることから、パスワード管理への意識に多少の変化がうかがえるものの、未だに多くの利用者がパスワードを使いまわし、リスクの高い利用状況にあることがわかりました。
(中略)
ーーー
↓カミアプ。調査人数が書かれてないけど、パーセンテージの端数が多いので、それなりの人数っぽい。79.91%。
自分のパスワードが流出していないか調べられるサイトが登場したということで、先日「複数のサービスで、1つのパスワードを使いまわしてない?」というアンケートを実施しました。
その結果…
- 使いまわしちゃってる…:79.91%
- ちゃんと別のパスワードを使ってるよ!:20.09%
なんと8割近くの方が「使いまわしている」と回答!
引用:パスワードを使いまわしている人は8割も!安全なパスワード管理方法は? | カミアプ | AppleのニュースやIT系の情報をお届け
ーーー
↓マネゴ総研。1288人。66.23%。
- はい 66.23 %
- いいえ 33.77 %
引用:マネゴ総研 – パスワードに関するアンケート : 「パスワードの使いまわし(同じパスワードを複数で使う行為)」をしていますか?
このような結果なので、パスワードを使いまわしする人のほうが多数派なのは確実です。
当然、そのような人たちを先に狙ったほうが攻撃成功する可能性が高いので、狙われやすくなります。
パスワード使い回しの危険性
なんだかパスワードを使いまわししている人のほうが多いので感覚が麻痺しちゃってますが、それがどれだけ危険なことなのか、具体的な例を出してみましょうか。
まず、日本で個人情報漏洩事件は毎日のように起きています。
被害1,000件以上のものだけでも1ヶ月に数回のペース。
そして、メールアドレスとパスワードを盗むことができたら、重要な個人情報がありそうなWebサイトでパスワードリスト攻撃を試みます。
パスワードを使いまわししていたら、この時点で個人情報の悪用・SNSアカウントの悪用・ポイントの不正使用・企業秘密の漏洩などに繋がります。
素人が手動でも不正アクセスできてしまうような脆弱性です。パスワード自体が長くて強固なものでも「使い回ししていたら意味がありません」。
どんなに強いパスワードでも、一つの流出をきっかけに、多くのサイトで不正アクセスを試みられるので、パスワードの使い回しそのものが危険ということを理解する必要があります。
どうやったらパスワードの使い回しをやめられるか
じゃぁセキュリティが強いパスワード運用ってどうすれば良いの?
ってことなんですが、パスワードの啓蒙記事としては以下のようなものがあって、強いパスワードの条件が書かれています。
安全なパスワードの条件
- パスワードの文字列は、長めにする(12文字以上を推奨)
- インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
- 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
- 他のサービスで使用しているパスワードは使用しない
つまり、十分な長さで記号なども入れた強いパスワードを、すべてのアカウントで別々に設定する必要があるということになります。
ただ、残念ながらそのような注意喚起をしても意味がありません。
パスワードを使い回す人は「異なるパスワードは忘れてしまう」「面倒」という理由で使い回すからです。
↓以下、使い回す人の理由。
- 異なるパスワードを設定すると忘れてしまう 69.7%
- 異なるパスワードを考えるのが面倒 45.3%
- 使いまわしてもリスクはないと思っている 11.8%
- その他 1.4%
「使いまわしてもリスクはないと思っている 11.8%」とあるように、リスクを理解していない人は意外と少ないということがわかります。
リスクがあると分かってて使いまわししている人のほうが多いということです。
だから、「強いパスワードにしましょう!」「使い回しはやめましょう!」と、ユーザー側の努力を促しても意味がありません。
「強いパスワード」「使いまわししない」「面倒じゃない」という条件を満たす必要があります。
パスワードの定期的な変更は意味がない
セキュリティ向上のために、パスワードの定期的な変更を呼びかける銀行などがありましたが、これには意味がないというのが、今や常識になっています。
「人に自分でパスワードを選ばせれば、だいたいが安易なパスワードを選ぶ。覚えにくいパスワードの作成を強要すれば、大抵は自分の目に見える場所に貼っておく。パスワードの変更を強いれば、今あるパスワードを少しいじっただけの簡単に予想がつく修正を行う。そして新しいパスワードは忘れてしまう」。
というふうに、結局、パスワードの運用を一般ユーザーにさせると、逆にリスクが高まります。
実際の運用では、後述するパスワード管理ソフトや生体認証を使わないと、セキュリティを向上させることができません。
人間が運用する限り、文字列の管理ではダメなんです。
小さな会社だと、事務員のおばちゃんがパスワードのメモを液晶モニタに貼り付けてる光景を見かけることもありますね。
パスワード管理ソフト
「強固・面倒」「脆弱・簡単」について、ここまで書いてきたことと、認証技術を加えた表が以下のようになります。
| 面倒 強固 |
簡単 脆弱 |
|
| 長さ | 長い | 短い |
| 英数字記号 | 含む | 含まない |
| 使い回し | 使い回さない | 使い回す |
| 生体認証 | する | しない |
| 2段階認証 | する | しない |
パスワードを強固にすればするほど面倒になるので、この「面倒」をどうにかして「簡単」にするのが解決策になります。
- パスワードの「長さ」「英数字記号」「使い回さない」はパスワード管理ソフトなどツール
- 「生体認証」はスマホの指紋認証・顔認証など
- 「2段階認証」は、指紋認証と組み合わせて
結局、何が言いたいのかというと、パスワード管理ソフトを使う。ということです。
面倒で使い回ししてしまう人にとってはこれが最も簡単な解決策になります。
- 強いパスワードの自動生成
- 使い回しが起きない
- 自動ログイン(生体認証で簡単)
- 記憶するパスワードはマスターパスワードだけ
というふうに、今まで書いてきたような、「面倒によるセキュリティの低下」を防げます。
ーーー
自分が使っている「1Password(ワンパスワード)」は、自動ログイン、パソコン・スマホで同期可能、2段階認証内蔵で、月額3ドルほどですべての端末で利用可能。お金払うならおすすめ。
「LastPass(ラストパス)」は無料版だとデバイス同期ができないので意味がないし、なぜか攻撃ターゲットにされる事件が多いので、料金が同じなら微妙な印象。
「bitwarden(ビットウォーデン)」というソフトが無料のパスワード管理ソフトとして話題になっています。
完成度もかなり高いことから、今から導入するなら有力な選択肢になるようです。
参考:無料パスワード管理「Bitwarden」使い方をIT管理プロが解説 – ITのかけ算
参考:パスワード管理【1Password vs Bitwarden】IT管理プロのガチ比較表公開! – ITのかけ算
「bitwarden」でGoogle検索するだけでも詳しく書かれたサイトがいくつかあるので、パスワード管理ソフトに興味が出てきた人は検索してみてください。
他にも「パスワード管理ソフト」で検索すればたくさんあるけど、安心なのかどうかの判断が難しいとか、データの置き場所がローカルとクラウドの違いによるリスクとバックアップの必要性とか、それこそ自己判断が必要になります。
まぁbitwardenが登場したことによって、無料で悩む必要は無くなったと思いますけど。
まとめ
どのみち、文字列によるパスワード運用は、ユーザー側でパスワード管理ソフトを導入しないと面倒を減らせないので、セキュリティリスクを無くすことは不可能です。
「無料で、導入が簡単で、生体認証が使える機能がOS標準で搭載!」
されたら解決しますけど、それはMacの「iCloud キーチェーン」のように、Apple製品による囲い込みの影響を受けますし、何らかのコストや制約を受ける可能性があります。
今のところIT機器に慣れていない人にも普及する可能性があるのはbitwardenだけだと思います。
1Passwordは機能は何も問題ありませんが、有料のみという点だけが大きなハードルになっていて、何でも無料で済ませたいユーザーは足切りされてしまう。
ただ、bitwardenが有力だとは言っても、一般ユーザーのセキュリティ意識が「パスワード管理ソフト」という存在に気づく動線が無いと、根本的な解決は難しいでしょう。
実際、「ハッキングの被害に遭ったパスワードランキング」で毎年123456がトップになっていますが、それにも関わらず一般ユーザーには伝わっていません。
それを裏付けるような調査結果も発表された。世界でハッキングの被害に遭ったパスワードの中で、最も多かったのは「123456」だったというニュース。発表したのは英国のサイバーセキュリティ機関だったけれど、今回に限らず「123456…」は、各種の調査で何年も前から連続でワースト1に君臨し続ける最低なパスワード。つまり、そういう安易なパスワードはダメ、使い回しはやめましょう、と業界がどれだけ叫んでも、一般ユーザーには一向に伝わっていないのだ。
セキュリティに関する記事はセキュリティに関心があるユーザーしか見ないので、関心が無いユーザーにも見せるためにテレビも使わないと周知徹底は難しいでしょう。
せめてこの記事を読んで危機感を理解した人だけでも、パスワード管理ソフトを使いましょう。
