パスワード流出で何が起きる？　どう防げばいい？

パスワード流出により、増えているのはどんな脅威？

1. ネット上の誹謗・中傷・デマ
2. 偽警告によるネット詐欺
3. メールやSNSなどを使った脅迫
4. なりすまし

4　なりすまし

近年、個人だけでなく企業からのパスワード流出が後を絶ちません。例えば2020年11月には、大手建設会社が運営するWebサイトへの不正アクセスにより、パスワードを含む個人情報が流出しています。悪意ある第三者は流出したパスワードを使って本人になりすまし、不正ログインや金銭目的などの被害をもたらします。

不正ログイン先はそのサービスだけでなく、リスト攻撃によって他のサービスにも広がるケースがあります。なぜこのようなことが起きてしまうのでしょうか。それは、パスワードを使い回す人が未だに多くいるからです。2021年2月には、ある転職情報サイトが不正ログインの被害を受けており、第三者による悪用を防ぐためユーザーにパスワード変更を呼びかけています。

パスワードは、他人に推測されにくいものにするのが大前提です。意味のある単語は推測されやすいので、ランダムな英数字記号を組み合わせ、一定以上の長さにすることが基本です。完全にランダムでなくでも、IPA（情報処理推進機構）が推奨する「コアパスワードを軸とした方法」（注1）、フィッシング対策協議会が提唱する「乱数表を使った方法」（注2）などを利用すると、安全性と管理のバランスが取れたパスワードを作成できます。

作成したパスワードの暗記が難しいなら、パスワード管理ソフトを使うとよいでしょう。手書きメモも有効な手段の1つです。近年は、他人にはわかりづらい形で記せる専用ノートも登場しています。もちろん人目のつく場所に置かないなどの常識的な対策は欠かせません。

パスワードは、かつては定期的な変更が推奨されていましたが、この方法は現在、あまり推奨されていません。変更の頻度が多いと、パスワードが単純化・ワンパターン化したり使い回しがちになり、かえって逆効果だからです。ただし、万が一流出してしまったら速やかに変更しましょう。

企業における社員のパスワード管理でも、同様の方針がベースとなります。社員のパスワード管理はIT部門とともに社員個人にもゆだねられています。パスワード作成・管理方法をはじめ、共有で使用しているPCならWebブラウザに保存しないなど、ポリシーやルールを定めて確実に浸透させる必要があります。

管理者は、流行しているマルウエアへの注意喚起など、情報提供も行うようにしましょう。並行して、シングルサインオンも含めた統合ID管理システム、ICカードや生体認証なども用いた二要素認証の導入といった、システム面からの対策も重要です。

• 注1：安心相談窓口だより（IPA 独立行政法人情報処理推進機構）
• 注2：利用者向けフィッシング詐欺対策ガイドライン（2020年度版）