パスワードは安易に設定しない

インターネットバンキングやウェブメール、オンラインストレージ、SNS(ソーシャル・ネットワーキング・サービス)などの各種ウェブサービスの拡大に伴い、独立行政法人情報処理推進機構(IPA)の情報セキュリティ安心相談窓口には、それらサービスへの不正ログイン被害に関する相談が継続して多く寄せられている。

ウェブサービスへの不正ログインによる影響は、提供しているウェブサービスの機能によって変わる。例えば、インターネットバンキングの場合は、不正送金により金銭被害が発生する。SNSの場合は、成り済ましによる書き込みやスパムメッセージの送信により信用低下を招く。先日は、ウェブメールに不正ログインされたことで、メールでやり取りしているさまざまな情報が閲覧された後、サイバー攻撃を受けて約2カ月にわたりシステム停止の被害に陥った組織の報道もあった。

ウェブサービスへの不正ログインの理由として、利用者の安易なパスワード設定が挙げられる。例えば、IDとパスワードが同一、パスワードに単純な単語や、「123456」や「abcdef」のような連続した英数字を使用している場合、攻撃者にパスワードを推測される恐れがある。

SNSで公開している誕生日などの情報をパスワードにするのも危険だ。「qwerty」といった一見ランダムな文字に見えるが実はキーボード上の隣接している文字も推測されやすい。また、複数のウェブサービスで同じIDとパスワードを使い回している場合、一つのウェブサービスのIDとパスワードが漏えいしただけで、他のウェブサービスにも被害が拡大する。

働き方改革を進めていく上で、リモートワークによる柔軟な働き方を確保するためウェブサービスを活用する機会は増えていくと考えられるが、利便性と同時に安全性の確報も考慮する必要がある。

二段階認証の利用も有効

ウェブサービスの不正ログインの被害に遭わないためには、ウェブサービスを利用するユーザーが自分自身で対策を実施することが必須となる。具体的な不正ログイン対策として、まずはパスワードを「長く」「複雑」にするなど推測されにくいものにして、さらに複数サービス間で「使い回しをしない」ことが重要である。

例えば、パスワード管理ソフトを利用し、ウェブサービスごとに異なるパスワードを設定する。また、パスワードには推測されにくい文字列を設定する。

パスワード管理ソフトが利用できない場合は、普段使用しているパスワードの最初か最後にウェブサービスごとに数字や記号を加えるだけでも対策として有効である。また、厳重に管理された紙のメモにパスワードを記載しておくことでもよい。

さらに、ウェブサービスが「多要素認証」を提供している場合は利用する。多要素認証とは、パスワードの記憶だけでなく、ワンタームパスワード(1回しか使えないパスワード)を作成するトークンなどの端末の所持や、指紋、顔、静脈、虹彩といった生体情報など複数の要素を用いた認証方式である。「二段階認証」と呼ばれることもある。これを利用することで不正ログイン防止に効果がある。また、仮にIDやパスワードが窃取されても、金銭などの最終的被害を回避することもできる。

IPAでは相談が多い不正ログイン対策について特集ページを公開している。詳しくはウェブサイト(https://www.ipa.go.jp/security/anshin/account_security.html)を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)