パスワードの流出経路

パスワードの流出経路は２つある。

1. 自身のインターネット接続機器から、ウイルスの感染やフィッシング詐欺などで情報を抜き取られる
2. 自身が使っているサービス提供事業者からIDやパスワードが流出する

パスワードを類推されてしまうリスク

自身のSNSなどのサービスで公開している個人の基本情報からパスワードを類推される可能性もある。誕生日や名前などから類推されてしまう。
自分の基本情報を使うと、パスワードを類推され、流出してしまうリスクが高いので、他の人に類推されないパスワードにしたほうが安全。

パスワードの使い回しにより、被害が複数サービスへ拡大するリスク

パスワードの使い回しにより、同一のID（メアド）とパスワードを利用している他のサービスでも被害を受ける可能性がある。
例えば、SNSなどの乗っ取りや、ショッピングサイトの不正利用にも被害が拡大する可能性がある。
パスワードが流出してしまった場合に被害を最小限に抑えるためにも、パスワードの使い回しは避けた方が安全。
最近でもこのような事例があった。
DMMで不正アクセスされてエロ動画を4万2380円分落とされたけど、それで済んだわけと原因と対策を考えてみた - Engadget 日本版

パスワード漏洩に対する危機意識

調査の結果、半数の人がパスワードの漏洩リスクを認識できていないことがわかった。
スマートフォンやタブレットにロックをかけていない人が3割以上いる。
ロックをしていないと、紛失、盗難にあった際に情報を簡単に閲覧されデータを取られてしまうという危機的な状況になる。

ちなみに危機意識に関しては以下のような傾向がある。

• スマホよりタブレットの方がロックをかけていない人が多い。タブレットは、スマホよりも持ち出す機会が少なかったり家族で使い回しているので設定していない人が多そう。
• iOSよりもAndroidの方がロックをかけていない人が多い。仕様が機種によって違うのでパスワード設定が面倒なのではないか。
• 男性より女性の方がロックをかけていない。これは女性の方が機器に弱く煩雑な操作を嫌がるからかもしれない。
• 若年層は8割以上がロックをかけている。セキュリティに関する学校教育、親や友人に見られたくないという意識が背景にありそう。
• 60代はロックをかけていない人が多い。

スマホやタブレットにはロックをかけないのは危険なので、ロックをかけるように注意したい。

使用しているパスワードの種類と流出リスク

1種類のパスワードを使い回している人が12％。
2種類以上使っている人も、使いまわしている人が多い。
パスワードを使い回していると、パスワードが流出した際に複数のサービスに被害が拡大するリスクが高くなる。

パスワードの決め方と流出リスク

パスワードは、自分の誕生日を元に作っている人が多い。
8割の人が何かの基礎情報をもとに設定しているので、他人から推測される危険性が非常に高い。

以前、知り合いが銀行のカードを盗まれたときにパスワードを誕生日にしていたため、類推されてしまい80万円ほどお金を引き出されてしまったのを思い出した。また、パスワードを誕生日にしていたため、自分の過失が大きく補償されなかった。

類推されないパスワードを作ったほうがよい。

パスワードの保管方法と流出リスク

6割の人が記憶に頼っている。
手帳やノートが4割。
管理ツールを使っている人は10％未満。

若い人ほど記憶に頼っている。
年配の方はメモが多い。

前述の通りサービスによってパスワードは変えたほうがよいが、サービスによってパスワードをわけると、記憶するのは大変だし、毎回メモを見て入力するのも大変。
そのため、管理ツールの使用を検討したほうがよい。

パスワードの変更頻度と流出リスク

セキュリティを強化するためにはパスワードを定期的に変更することが重要だが、4人に一人が自主的にパスワードを変更していない。
また変更していても、パスワードを忘れたから、という理由が多く、セキュリティを強化するため、という目的ではなされていない。

実はパスワードの変更頻度に関しては以前から議論されていて、定期的に変更するのは逆にリスクがあるという説もある。
その理由は以下。

実際のところユーザーは新しいパスワードを忘れないように、以前のパスワードや他のサービスで使っているパスワードと似通ったものを使用しがちです。悪意を持った攻撃者がこういったユーザーの特性を悪用し、アカウントに不正にアクセスする可能性があります。また、ユーザーが新しいパスワードをどこかに書き留めていると、同じく攻撃者の標的になり得ます。他にも、せっかく新しくパスワードを設定したとしても、パスワードを忘れてしまうと、ユーザーの生産性を落とし、さらにはサービスの提供側がパスワードの再発行をせねばならず、両者の負担が増えることになります。

出典：GIGAZINE

ただ、以下のような場合はパスワード変更した方がよい。

二段階認証を備えていないEメール、メッセンジャー、カンファレンスサービスなどのサイトはパスワードを定期的に変更したほうがいいでしょう。こうしたサイトは、侵入者が何カ月も聞き耳を立てていたがるサービスです。

出典：GIGAZINE

自分ではパスワードは流出していないと思っていても実は流出していて気づいていないだけという場合があるので、サービスによっては定期的にパスワードを変更したほうがよい。

パスワード流出を防止するためのアドバイス

• 複雑なパスワードを使う。ネット犯罪から身を守るために、8文字以上の大文字、小文字、数字、記号を組み合わせる。桁数が多いほど安全。
• 定期的にパスワードを変更する。流出していても自分は気づいていない場合がある。見えないところでとられてしまっていたり事業者から漏れてしまう場合がある。3ヶ月ごとがオススメ。
• 複数アカウントで同一のパスワードを使い回すのはやめる。１つのサイトから流出すると同じパスワードを使っている複数のサイトが被害に合ってしまう。
• 他人に類推されやすいパスワードはやめる。ランダムなものを使用する。自分、家族、ペットの名前、生年月日、電話番号、住所の一部などSNS上にもあり色々な経路で他人に推測されやすい。
• 信頼できる管理ツールを使う。複雑なパスワードを自動生成し、複数のパスワードを簡単に管理できるアプリやソフトウェアの利用を検討する。

パスワードに関する様々な課題を解決する管理ツール

パスワードに対するニーズ

まずは、パスワード流出の危険を認識する必要がある。
しかし、パスワード流出の危険を認識はできても、具体的にどのように対策すればよいかわからず、以下のような悩みが出て来る。

• パスワードを使い回さないようにしたいが、どうすればいいかわからない。そのため、パスワードを色々なサービスでローテーションしてしまっている。
• 複雑で安全なパスワードを作りたいがどうすればいいかわからない。身近にある数字を元に作ってしまう。
• 安全にパスワードを保管したいが、よい保管方法がわからない。

ニーズを満たすアイテム

パスワード管理ツールはフリーのものもあり、有名なところでは「1Password」や「LastPass」が挙げられる。
しかし、先日これらの人気パスワードマネージャーに情報漏えいのリスクがあると報じられていた。
「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE

パスワード管理ツールのセキュリティが甘いとすべてが流出するので、ここは信頼できるものを使いたいと思う。

その点、ノートンの製品は有料だが、その分信頼できると思う。
今回の製品説明会で、iOS向けに上記のニーズを満たすことができる新機能が先行リリースされたと発表があった。
日本におけるモバイル市場では、iOSユーザーが多いので、iOS向けからリリースしたとのこと。

ノートンの新商品

製品の機能一覧。

今回追加されたのは以下の３つの機能。

• 暗号化されたデータ保管庫によって情報を安全にクラウド上に保管する機能。
  • ログインIDやパスワードに加え、住所、クレジットカードや銀行口座の情報などを保管できる。

• ウェブサイトの安全性を評価して有害サイトを警告する、セーフブラウザ機能。
  • セーブブラウザーには、接続先ウェブサイトの安全性を評価するサイトレポート機能を搭載しており、危険なサイトへアクセスした際は赤い警告画面を表示する。

• 複雑で安全なパスワードを簡単に作成できる機能。
  • 英大文字・英小文字・数字・記号の条件を選択して、これに応じて4文字から64文字までの推測の難しいパスワードを自動生成する。

製品の料金は以下のようになっている。

以下、製品のデモ動画。
youtu.be

詳しい使い方については、別途記事を作成予定。

パスワード管理ツールにかけるパスワードについて

パスワード管理ツールにかけるパスワードは強固なセキュリティにする必要がある。
これを破られるとすべてが流出するし、忘れるとすべてで使えなくなる。

忘れるとまずいものを記憶のみに頼るのは危険なので、紙に書いて家の大切なものを保管する場所に置いておくなどしたほうがよい。
また、紙などに書く場合は、PW文字列のみ書いておくなど、できるだけ見られない方法で、見られたとしてもそれが何の情報なのかを推測されない工夫が必要だと思う。

どのようなパスワードにすると強固になるかに関しては、こちらが参考になる。

My advice is to take a sentence and turn it into a password. Something like "This little piggy went to market" might become "tlpWENT2m". That nine-character password won't be in anyone's dictionary. Of course, don't use this one, because I've written about it. Choose your own sentence -- something personal.

出典：Choosing Secure Passwords - Schneier on Security

簡単に言うと、文をパスワードに変えるということ。
"This little piggy went to market"という文章を思いついたら、そこから"tlpWENT2m"といったパスワードを作成する。自分自身で覚えている文章をパスワードに変えることで、忘れにくく他の人には予測できないパスワードを作ることができる。

他に以下のような例も記載されている。

WIw7,mstmsritt... = When I was seven, my sister threw my stuffed rabbit in the toilet.
Wow...doestcst = Wow, does that couch smell terrible.
Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all.
uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure.

セキュリティについて楽しみながら対策できるコンテンツ

以下のコンテンツを勉強会で紹介された。こちらも面白いのでオススメ。

• 個人情報の流出の気付いてる？
  • モバイルにおける個人情報流出のリスクを漫画でわかりやすく解説している。
• 1分間セキュリティ診断
  • ○×クイズに回答すると、診断結果が表示される。
  • 診断結果はシェアできる。

感想

パスワードについてはしっかりと知識を持って管理をしないと大きな被害にあってしまうので、しっかりと勉強して対策をしたほうが良いと思った。
今回この製品をモニターで試用させていただくので、その使用感を後日また書こうと思う。

関連記事

Wi-Fiの種類、危険性と対策：10分でわかるWi-Fiの基礎知識 - 久保清隆のブログ