まちの専門家をさがせるWebガイド マイベストプロ東京
金子清隆

ITの有効活用・コスト見直しに強いコンサルタント

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

お電話での
お問い合わせ
03-6869-8336

コラム

パスワードの再確認~女性芸能人のデータ盗み見事件に関連して

セキュリティ

2016年12月7日 / 2017年4月19日更新

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データなどを覗き見していた報道機関の社員が逮捕されました。報道によると、容疑者は「出来心でパスワードを突破することに喜びを感じ、ゲーム感覚でしてしまった」と供述しているようです。この容疑者は何らかの方法で被害に遭った女性芸能人の電話番号やメールアドレスを入手し、パスワードを推測して無断でログインしていたとされています。
過去にも同様の事件が報道されており、その度に「クラウド環境にデータを保存することは危ない」と騒ぐ人もいますが、問題なのは自分のデータが保管されている場所に「推測しやすい」パスワードを使用することが問題なのです。リアルな世界で例えれば、家や部屋に鍵をかけない、または単純な鍵を使っていることで盗難に遭うことと同じことです。このような犯罪は芸能人だけでなく、皆さんが会社やプライベートで使用するPCやスマートフォンでも行われている可能性があります。ただ、気付いていないだけです。
今回は、安全性を高めるためのパスワード設定や管理について確認します。

使ってはいけないパスワード

報道によると、今回被害に遭った女性芸能人はパスワードを「名前+誕生日」のような、誰もが入手可能な情報で構成されていたようです。「推測しやすい」パスワードとはどのようなものか、改めて確認します。

1.単純なパスワード
毎年の様にセキュリティ会社等から危険なパスワードが公表されています。例えば、「123456」「111111」「password」「qwerty」...といった内容です。こうしたパスワードを設定することは問題外なのです。しかしながら、依然としてこうしたパスワードを使用する方が多いのも事実です。

2.自分に関する情報
以前は自分だけが解る情報でパスワードを設定する、という考え方がありましたが、現在では成り立たなくなってきています。多くの人がSNS等で自分の身の回りの状況や出来事を公開する機会が増えたため、投稿に含まれるような情報をそのまま使うことは危険だと考えた方がいいでしょう。例えば、以下の様な情報です。
・氏名や誕生日:自分、家族、友人、等
・自分の経歴等に関する情報:出身地、学歴、職歴、等
・ペットに関する情報:名前、種類(犬種等)、等
・好きなスポーツチーム、芸能人、映画や楽曲、等の名前
・お気に入りの地名、場所やランドマーク、等
・好きな食べ物や飲み物、キャラクター、ブランド、等
・その他マイブームに関する情報
・何らかの記念日

また、上記の情報はパスワードを忘れた際の質問に対して、事前に登録した回答となる場合もあるので、ご留意ください。

3.流行りもの
パスワードを定期的に変更する場合、そのタイミングで流行しているものをパスワードにする人もいます。こちらもそのまま使用することはお勧めできません。また、頻繁に使用しないパスワードに使用すると、ブームが過ぎた後では忘れてしまう危険性もあります。

4.パスワードの使い回し
複数のサービスで同じパスワードを使用していると、どこか一つのパスワードが破られた場合、他のサイトでも同じパスワードを使って不正アクセスされる可能性が高くなります。例えば、Gmailで設定したパスワードが破られた場合、他にも使用している可能性が高いFacebook、Twitter、LINE、iCloudなどのサイトにも同じパスワードで入れるかどうかを試す場合もあります。

5.ユーザーIDにも注意
多くのサイトではユーザーIDとしてメールアドレスが使用されていますが、中にはユーザーIDも自分で設定するサイトがあります。その際に、パスワードを設定する際と同じような頭の使い方をすると、思考パターンを読み取られてパスワードが推測される危険性もあるので、気を付けた方がいいでしょう。

安全性の高いパスワード作成のヒント

それでは、破られる可能性の低いパスワードをどうやって作成すればいいでしょうか。キーボードをランダムに打って作成する方法もありますが、覚えられないパスワードをどう保管するかという問題も出てきます。ここでは、破られにくいパスワードを作成するためのヒントを紹介します。

1.文字の組み合わせパターンを増やす
パスワードの桁数を長くし、私用する文字の種類を増やせば、単純に組み合わせパターンが増えることになるので、破られる確率が低減します。使用する文字種類と桁数による組み合わせパターンは以下の通りです。

6桁の英大文字/小文字と数字を組み合わせれば、560億を超えるパターンとなり、総当たり攻撃で破られることはほぼ不可能です。これに記号を追加すれば、更にパターンを増やすことができます。また、組み合わせパターンを増やすには「最初=大文字」という法則ではなく、ランダムな場所に大文字を設定するべきです。

2.一つの単語ではなく、複数の単語を組み合わせる
一つの単語だけだと辞書攻撃で破られる可能性もあるので、複数の語を組み合わせたり、文章としたりすることで簡単に推測することが難しくなります。また、こうすることで自然にパスワード長が長くなります。

3.サービス毎に異なるパスワードを設定する
面倒かもしれませんが、複数のサービスで同じパスワードを使用することは危険です。被害を最小化するためにも、個別のパスワードを設定すべきです。また、これを機会にパスワードを使用するサービスの棚卸を行い、必要なサービス以外のユーザーIDを削除して管理対象を整理することも検討すべきです。

パスワードの管理方法

できればパスワードは自分の頭の中で記憶することが望ましいのですが、上記の様にサービス毎に複雑なパスワードを使用すると、なかなか難しくなってきます。作成したパスワードを管理するための方法として、以下が考えられます。

1.紙に書く
「パスワードは紙に書いておく」と言うと、それはおかしいと思う人も多いかもしれません。紙に書いたパスワードが問題となるのは、その紙がPCの傍に置かれていたり、画面の近くに貼り付けられていたりする等、誰もが目に触れる場所にある場合です。紙に書いたパスワードは利用状況に応じて、誰にも触られない場所に保管するか、財布等の中などで肌身離さず持ち歩くことにすれば漏えいのリスクは低くなります。

2.Excel等の電子データに保存する
作成したパスワードをExcel等のデータファイルで保管する方法もあります。前提条件として、パスワードロックが可能なファイル形式とすべきです。そうすれば、ファイルを開けるパスワードだけ覚えておくことで、全てのサービスのパスワードを管理することができます。

3.パスワード管理ツールを使用する
スマートフォンやPCで使用できるパスワード管理ツールもあります。こちらについても、ツールを起動するためのパスワードだけ覚えておくことで、登録したすべてのパスワードは覚える必要はありません。さらに、ログイン画面と連動してユーザーIDとパスワードを自動入力する機能もあるので、打ち間違えによる認証エラーも起こりません。
なお、パスワードを記憶する機能のあるブラウザーもありますが、使用は控えることを推奨します。なぜならば、PC等へのログインが不正に行われた場合に防ぐことができないからです。独立したパスワード管理ツールを使用することで、PCを不正に使用され、ブラウザーを起動しても、認証情報を必要とするサービスを使用することはできません。

パスワードが破られたら、被害は自分だけではない

パスワードが破られて自分の管理するデータが盗まれた場合、他者に被害が及ぶ可能性があります。例えば、自分のPCやスマートフォンからアドレス帳が流出した場合、自分の友人等の電話番号やメールアドレスが流出する可能性があります。これを足掛かりにしてその人たちのパスワードが破られる可能性もあります。今回の事件でも、被害を受けた女性芸能人の電話番号やメールアドレスをどうやって入手したのかは今のところ不明です。また、容疑者のスマートフォンには被害者以外の100件以上の有名人の電話番号やメールアドレスが登録されていたという報道もあります。現時点で入手経路は不明ですが、これまで同様の手口で不正アクセスしたところから不正に入手した可能性もあります。自分のパスワードを守ることは、自分と関係のある他者の安全にも関わる可能性があることにも留意してください。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ環境の調査と改善提案
・セキュリティ規程等の策定、改訂
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

金子清隆

金子清隆(かねこきよたか)

金子清隆プロのその他のコンテンツ

Share

金子清隆プロへの
お問い合わせ

マイベストプロを見た
と言うとスムーズです

お電話での
お問い合わせ
03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆

デルタエッジコンサルタント株式会社

担当金子清隆(かねこきよたか)

地図・アクセス

金子清隆のソーシャルメディア

facebook
facebook

金子清隆プロのその他のコンテンツ