インターネットサービス(クラウドサービス、SNS、ショッピングサイトなど)の多くは、IDおよびパスワードによる本人認証方式が採用されている。しかし、IDおよびパスワードによる本人認証方式では、悪意のある第三者にIDおよびパスワードを知られた場合は、不正にログインされ、個人情報漏えいや金銭被害などの被害に遭う恐れがある。

実際に独立行政法人情報処理推進機構(IPA)が設置する「情報セキュリティ安心相談窓口」には、「ウェブメールのアカウントにログインができなくなった」「SNSアカウントから身に覚えのない投稿をされた」「ショッピングサイトで自分のアカウントに身に覚えのない購入履歴があった」などの相談が多数寄せられている。これらは自分が利用しているインターネットサービスにおいて、第三者にIDおよびパスワードを悪用されたことが原因による不正ログイン被害であると考えられる。

自分自身で対策が必須

不正ログインの被害に遭わないためには、インターネットサービスを利用するユーザーが自分自身で対策を実施することが必須となる。不正ログイン被害への対策として次に挙げる内容に留意してほしい。

■短く推測されやすいパスワードは危険

短いパスワードを設定している場合、パスワードを総当たりでログイン試行され、不正にログインされてしまう。また、パスワードに誕生日や名前、使われやすい文字列を設定している場合、パスワードを推測されて、不正にログインされてしまう。

■サービスごとに異なるパスワードを設定

IDとパスワードを複数のウェブサービスで使い回している場合、十分な文字数で推測困難なパスワードを設定していたとしても、どこか一つのサービスから漏えいしたIDとパスワードを用いた「パスワードリスト攻撃」による不正ログインを防ぐことができない。この攻撃の被害に遭わないためには、サービスごとに異なるパスワードを設定しておく必要がある。

■適切なパスワードの作成・管理

パスワードは、10文字以上の文字列でアルファベットの小文字や大文字、数字や記号を組み合せるなどの作成方法と、どのように記憶や記録をするかの管理方法が重要である。おのおのが自分に合ったパスワードの作成方法と管理方法を考えるのが一番だが、例えば、記憶できる文字列を決め、その文字列にサービスごとに3桁や4桁の異なる数字や記号を付け足すことで、異なるパスワードを作成できる。そして、作成したパスワードの文字列から、サービス毎の差分(記憶できない部分)だけ電子ファイルや手帳などに記録すると管理しやすい。また、パスワード管理ツールの利用も選択肢の一つといえる。

■認証の強化

サービスによっては、PINコードやワンタイムパスワード、電子証明書などを用いた多要素認証が提供されている。不正利用による金銭被害が懸念されるサービスでは、多要素認証方式を活用し、より安全にサービスを利用することが望ましい。

不正ログイン対策の詳細については、IPAのウェブサイト(https://www.ipa.go.jp/security/anshin/account_security.html)を参考にしてほしい。 (独立行政法人情報処理推進機構・江島将和)