is702
STOP!パスワード使い回し!

パスワードを使い回した場合のリスクと3つの対策

2019/11/21
STOP!パスワード使い回し! パスワードを使い回した場合のリスクと3つの対策

インターネット上には私たちの生活を豊かにしてくれる便利なサービスがあふれています。ただ、利用するサービスが増えれば増えるほど、パスワードを個別に設定する意識は薄れてしまいがちです。パスワードを使い回してしまった場合のリスクを改めて知り、各種サービスを安全に利用するために3つの対策を実施しましょう。

パスワードの使い回しはなぜいけないのか

ショッピングサイトやSNS、Webメール、クラウドストレージ、ネットバンキングなど、インターネットサービスのアカウントの作成時はほとんどの場合、IDとパスワード(認証情報)の登録が求められます。パスワードをいくつも覚えられないという理由で、複数のサービスに同一のIDとパスワードを使い回している方もいるのではないでしょうか。しかし、それはアカウントの保護という観点で望ましくありません。パスワードの使い回しはなぜいけないのでしょうか。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手した他人のIDとパスワードのリストを用いて、複数のサービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、盗まれたりした場合に複数のサービスのアカウントを芋づる式に乗っ取られてしまうのです。では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

認証情報(IDとパスワード)の入手経路は?

代表的な手口はフィッシング詐欺です。これは、実在するショッピングサイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイト(フィッシングサイト)へ利用者を誘導し、そこで入力させた情報をだまし取る手口です。たとえば、携帯電話事業者や、Appleを装い、不正利用の疑いがあるなどとしてログインを促すSMSを送りつけ、そこからフィッシングサイトへ誘い込む手口が確認されています。

キーロガーも認証情報を盗み出す手段の1つです。これはキーボードから入力された情報を外部に送信するマルウェア(ウイルスなど悪意のあるソフトウェアの総称)です。サイバー犯罪者はターゲットのパソコンにキーロガーを感染させ、収集したキーボードの入力情報を解析することでIDとパスワードを割り出します。ホテルや図書館などに設置された不特定多数が利用するパソコンにはキーロガーなどのマルウェアが仕込まれているリスクもあるため、認証情報や個人情報の入力は避けた方が無難です。

さらに、インターネットサービス事業者の人為的なミスやサイバー攻撃による情報漏えいがきっかけで利用者のIDとパスワードが流出してしまう事故も起こっています。そこから流出した認証情報は不正に利用されたり、闇サイト(闇市場)の商品として扱われたりし、サイバー犯罪者に売却される可能性もあるのです。

辞書攻撃や総当たり攻撃によって認証情報を探り当てられてしまうパターンもあります。辞書攻撃は、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクを高めてしまいます。

アカウントの不正利用を防ぐための3つの対策と対処法

サイバー犯罪者は、このようにさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりして各種サービスのアカウントを不正利用し、金銭や情報を得ようとしています。こうした被害を防ぐためにはどうすればよいでしょうか。

対策1.安全なパスワードを設定する

単語や生年月日など、短くて単純なパスワードは、攻撃者に簡単に推測されてしまいます。単純なパスワードの利用を避け、他のサービスで使用しているパスワードを使い回さないようにしましょう。

対策2.パスワードを適切に管理する

サービスごとに複雑なパスワードをいくつも作成していると、設定した内容を忘れてしまう可能性があります。次のような方法を参考に、適切に管理しましょう。

  • 紙にメモして、人目に触れない場所で保管する
  • パスワード付きの電子ファイルで保管する
  • パスワード管理ツールを利用する

トレンドマイクロでは、パスワード管理ツール「パスワードマネージャー」の無料体験版を提供しています。

対策3.インターネットサービスのセキュリティ機能を活用する

  • ワンタイムパスワードなどの2段階認証機能を活用する
  • ログイン履歴機能、ログインアラート機能を活用する

■不正ログインに気づいたら

  • 1.すぐにパスワードを変更する
  • 2.サービス事業者のサポート窓口に相談する
  • 3.同じ認証情報を他のサービスでも使い回していないことを確認し、使い回していた場合には他のサービスのパスワードも変更する
  • 4.他のサービスに不正ログインされた形跡がないかどうかを確認する

引用:JPCERTコーディネーションセンター
STOP! パスワード使い回し!キャンペーン
https://www.jpcert.or.jp/pr/stop-password.html

引用:JPCERTコーディネーションセンター
STOP! パスワード使い回し!キャンペーン
https://www.jpcert.or.jp/m/pr/stop-password.html

対策の詳細はSTOP! パスワード使い回し!キャンペーンのページで解説されています。
万一、クレジットカードやデビットカードの利用明細に覚えのない請求があった場合は、速やかにサービスの提供元やカード発行会社、警察に連絡しましょう。

こちらの記事を読んだ方におすすめの記事

認証方法とアカウントを保護するための6つの自衛策

  • ホスティングサービス(レンタルサーバー) OH!いいな
  • ファイル送信・受信・転送サービス センドファイル
  • 電話番号表示システム アイポップ
ホスティングサービス(レンタルサーバー) OH!いいな
ファイル送信・受信・転送サービス センドファイル
電話番号表示システム アイポップ