現在、最も普及しているユーザー認証方式は「固定パスワード」方式です。以前は、パスワードを複雑にすれば安全性が高まるとされてきましたが、近頃では、その常識も変わりつつあります。

パスワードを複雑にすることで防止できるのは、推測やパスワード生成ツールによる「パスワード破り」ですが、最近では、企業が保有しているサーバーからのパスワード流出が相次いでいます。

去年から今年にかけても、ソニーを始めとして、国内大手の通販会社やオンラインゲーム会社、果ては政府機関や国会議員からもパスワードの流出事件が発生しています。

Webサーバーに保存してあるパスワードが流出した場合、いくら作成するパスワードを複雑にしていても意味がありません。

「パスワード」そのものを犯人が知っている訳ですから、どんなにパスワードを複雑にしても、「なりすまし」には対応できません。

しかし、重要なのは、「二次被害」を防ぐことです。

例えば、ある「X氏」が、AとB、二つの企業のWebシステムを利用していたとします。この時、Aと言う企業のサーバーからパスワードが流出したとします。「X氏」は、AとB、どちらのWebシステムにも同じパスワードを使用していた場合、A社から流出したパスワードを使い、Bと言う企業のWebシステムにも侵入されてしまいます。これが「二次被害」になります。

この事件で重要なのは、例えば「X氏」がパスワード流出により金銭的被害を受けたとしても、保証されるのはA社分だけで、B社分の被害に関しては、おそらくパスワードの使い回しと言う「自己責任」を理由に、賠償額は良くて半分位、悪くすればゼロになってしまう可能性もあります。

そこで今回は、不正アクセスの概要説明と、従来からの「パスワード破り」への対応策に加え、パスワード流出の二次被害を防ぐための方法について紹介しようと思います。

不正アクセスの手法を理解し、それに合った対応を取ることで、皆さんの個人情報を守って下さい。「敵を知り、己を知れば」何とかです。なお、最後の方で、パスワード管理のための便利ツールをご紹介します。

それでは宜しくお願いします。

■不正アクセスの種類

　◆識別符号窃用型

　他人のユーザーIDとパスワードを使って不正にアクセスする方法です。俗に言う、「パスワード破り」と言われる手法です。

　この手法は、パスワードを盗み取ったり、パスワード破りツールでパスワードを推測したりして不正アクセスを行います。

　パスワードを盗み取る、と言っても紙に書いたパスワードを盗み取るのではなく、被害者の身近な犯人が、被害者のペットの名前や誕生日、その他の個人情報からパスワードを推測して不正侵入するケースが、不正アクセス禁止法違反で検挙された被疑者の5割強を占めているそうです。

　また、パスワード破りツール、もっともWebサイト上では「パスワード解析ツール」と言われていますが、これらのツールには、パスワード破り専用の辞書を備えているものもあります。

　この辞書には、一般の辞書に掲載されている単語に加え、パスワードに設定されることが多い文字列も掲載されています。(下表参照)

　◆セキュリティホール攻撃型

　Webサイトの脆弱性（セキュリティ上の欠陥）を悪用した不正アクセスです。いわゆる、「ハッキング」と呼ばれる手法です。

　近頃では、サーバー自身のセキュリティも強化されていますし、セキュリティ・ソフトウェアも進化していますので、この手法での不正アクセスは減少してきているようですが、ソニー等は、この手法でサーバーに侵入され、大量のパスワードが盗まれたようです。

　◆ウィルス

　メール等を使ってウィルスを送り込み、データベースに侵入する手法です。官庁や国会からのパスワード流出は、この手法でした。

　知り合いや同僚を装ってメールを送信し、メールを開いたり、あるいは添付ファイルを開かせたりすることでウィルスに感染させます。

　ウィルスの種類は何百種類とあります。古いウィルスであれば、セキュリティ・ソフトウェアの定義ファイルに登録されているので侵入を防ぐことができますが、新種であればセキュリティ・ソフトウェアを導入していても防止することは不可能です。

■パスワードの人気(?)ランキング

　パスワードに用いられる文字列としては、「123456」が最も多く、続いて「abc123」や、そのものズバリの「password」が続いているようです。

　まさか、皆さん、こんなパスワードにしていませんよね(笑)

　パスワードに使われる文字列の多さに関しては、セキュリティ会社やIT情報サイト等が公表していますが、下表のようになっています。

　その他にも、スマートフォン等では、次の様なパスワードが多いそうです。
　・0258 ：　テンキーの縦1列、その逆「8520」も多い
　・5683 ： 「LOVE」に該当する数字

　このようなパスワードの使用は極力避けて、と言うか、今すぐにでも別のパスワードに変えて下さい。

■パスワードの生成方法

　上述の「識別符号窃用型」による不正アクセスを防止するためには、簡単に推測されるパスワードを避けることが重要になります。

　つまり、パスワードを複雑にすれば、他人やツールにパスワードを推測される危険性が減少します。しかし、人間、そう簡単に何種類もの複雑なパスワードを考えつける訳ではありません。

　そこでご紹介したいのが、マスターキーによる暗号化です。その手順は、次のようになります。

　1.マスターキー生成の基礎となる文章や単語の選択
　2.基礎からの文字抽出
　3.抽出文字へのサイト識別子の付加

　このパスワード生成方法は、文字の暗号化の考え方と同様です。この暗号化は、「換字式暗号」、または「換字暗号」と呼ばれ、古代エジプト時代から使われていました。また、第二次世界大戦時に有名となったドイツ軍の「エニグマ」も「換字式暗号」の一種です。

　上図を例に、説明します。

　1.マスターキー生成の基礎となる文章や単語の選択

　上図の場合、私の名前を例に挙げましたが、それ以外、例えば好きな言葉や座右の銘などを選ぶのも良いと思います。

　2.基礎からの文字抽出

　上図の場合、「子音」を抽出しましたが、それ以外、1文字間隔とか2文字間隔での抽出もありますし、文章などの場合には、最初の文節だけ抽出したりするのもOKです。

　3.抽出文字へのサイト識別子の付加

　上図ではGoogleのパスワードとしましたが、例えばGoogleの文字を数字に置き換えたりするのもアリです。ここで注意するのは、そのまま「Google」と言う文字を設定しない点です。万が一、マスターキーが盗まれてしまった場合、他のサイトの識別子も、簡単に類推されてしまいます。このため、サイト識別子に関しても、暗号化することをお勧めします。

　作成したパスワードに関しては、マイクロソフト社が、パスワードの強度を図ってくれるサイトを提供していますので、このサイトでパスワードの強度を図ってみるのも良いかもしれません。

　URL:https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

　ちなみに、上図で作成したパスワードについて、上記サイトでチェックしたところ「最強(BEST)」までは行きませんでしたが、「強い」と言う判定でした。

　あと、月毎にパスワードを変更したい時は、マスターキーに年月情報を付加し、月毎に年月部分を変更する方法もあります。

　このように、マスターキーを作成し、その前後にサイト情報、あるいは月情報を付加することで、あるサイトからパスワードが流出しても、別のサイトに被害が及ぶこともありませんので、「二次被害」を防止することが可能になります。

■パスワードの管理方法

　人間、よほど特殊な能力を備えていないと、覚えられるパスワードの数には限界があります。特に、上述の様に強化したパスワードは、内容が複雑になっていますので、1個だけでも覚えるのは難しいと思われます。(私には覚えられません・・・)

　そこで、パスワードを管理する便利ツールを紹介させて頂きます。

　◆Webブラウザーでの管理

　パスワードを管理する方法で、最も簡単な方法は、Webブラウザーが提供している機能を、そのまま使うことです。

　現在出回っているほとんどのブラウザーには、ID/パスワードをクッキー(Cookie)で保存する機能が備わっています。

　「私のブラウザーでは保存できない!?」と言う方は、Webブラウザーの機能を確認して見て下さい。例えば、WebブラウザーがChromeの場合、下図のようになっています。

　但し、Webブラウザーでパスワードを保存する場合に注意して欲しいのは、上述の様に、ID/パスワードはクッキーを利用して保存していますので、操作PCで他の人が該当サイトを開いた場合でも、自動的にID/パスワードが設定されてしまいます。

　このため、他の人が操作する可能性のあるPCでは、Webブラウザーによる保存機能は使用しないようにして下さい。

　◆ツールを使用する方法

　次に、ツールを使用する方法について説明します。ツールには、無償ツールと有償ツールがありますので、皆さんの判断のもと、使用するか否かを決めて下さい。

　　●ID Manager(無償ソフトウェア)

　　ID Managerには、Webサービスの名前と、利用するパスワード等を、あらかじめ登録しておくことになります。パスワードは、ID Managerのデータベースに暗号化されて保存されるので、データベースに侵入されても、その点は安全です。

　　しかし、唯一気を付けるべきところは、ID Managerを起動する際にもID/パスワードが必要なのですが、このパスワード、画面上は「**〜**」で表示されているのですが、コピー/ペーストが可能になっており、さらにコピー先でパスワードが文字として表示されてしまいます。

　　故に、前述と同様、クッキーが有効、かつWebブラウザーでパスワード保存となっていると、この情報が他人にもばれてしまう可能性があります。

　　ID ManagerのID/パスワードが流出すると、ツールに登録した全パスワードも流出してしまいます。ご注意願います。

　　●ロボフォーム(有償ソフトウェア)

　　ロボフォームは、Webブラウザーのアドオンとして機能する管理ソフトウェアです。IEやFirefox、Chromeなどの主要ブラウザーに対応しています。

　　ロボフォームをインストールしたWebブラウザーでパスワードなどを入力すると、保存するかどうかを尋ねるバーが表示されますので、保存ボタンを押すと登録されます。

　　以降は、そのログインページにアクセスすると、ツールバーにアイコンが表示され、そのアイコンをクリックすると、パスワードなどが自動的に入力されるようになります。

　　ロボフォームは有料のソフトウェアですが、30日間は無料で試用できますし、「登録できるパスワードが10件まで」などの制限付きでも大丈夫なら、試用期間が終了しても無料で利用可能です。

　◆セキュリティ・ソフトウェアの付属機能を使う

　私個人としては、この方法が一番お勧めなのですが・・・

　私は、セキュリティ・ソフトウェアとして、「Norton Internet Security」を使用しているのですが、このソフトウェアには、「IDセーフ」と言う機能が付いており、このソフトウェアでID/パスワードを管理しています。

　使い方は、上記ツールと同様、サイト毎にURL、ID、パスワードを事前に登録するか、あるいはサイトにID/パスワードを入力した時点で、このID/パスワードを保存するか否かを尋ねてきますので、保存したい場合には「保存」をクリックすれば、登録完了です。

　現在、「IDセーフ」に関しては、IEとFirefox、それとChromeしか動作していません。使い勝手の良さと、やはりセキュリティ・ソフトウェアが提供している、と言う安心感から、非常に満足しています。

　但し、「IDセーフ」を使うためには、セキュリティ・ソフトウェアを購入しなければならない点が問題です。

　◆ツール利用時の注意点

　使えば便利な管理ツールですが、注意点がありますので、列挙しておきます。

　(1)全てのWebブラウザーに対応している訳ではない
　(2)使用するPCのOSも、全OSで動作する訳ではない
　(3)使用しているプロバイダーによっては使えない場合もある
　(4)ツールが壊れたりすると、ID/パスワード情報が消えてしまう可能性がある
　(5)有償/無償のツールがある　等

　特に、上記(4)に関しては注意と備えが必要です。私自身も、セキュリティ・ソフトウェアのバージョン・アップ時に、ID/パスワード情報が、全部消えてしまった苦い経験があります。

　私の場合、もともとパスワード情報が覚えられなかったので、別の電子媒体にサイトURL/ID/パスワード情報を保存していたから良かったのですが、このようなバックアップデータが存在しないと、一瞬で全ての情報が消えてしまいます。

　ID/パスワードを忘れてしまうと、サイトによっては登録メールアドレスに、ID/パスワードを送信してくれる所もありますが、基本的にはID/パスワードの再登録が必要になります。

　また金融機関系のサイトの場合には、郵送でID/パスワードを送付するケースがほとんどですので、サイトを使えるようにするまでに、時間が掛かってしまうケースもあります。

　ID/パスワード情報に限らず、何かツールを使う場合には、必ずバックアップを取るようにしましょう。

　また、バックアップを取った場合には、バックアップ情報が流出する事態に備え、圧縮ツールで暗号化しておいた方が良いと思います。さらに、可能ならパスワード付きの圧縮が良いと思います。

■パスワードの管理方法のまとめ

　いろいろな事を説明してきましたが、ここで内容を整理したいと思います。基本的に重要な点は、次の4点です。

　ポイント1：パスワードはある程度複雑にする
　ポイント2：サイト毎にパスワードは異なる内容にする
　ポイント3：定期的にパスワードは変更する
　ポイント4：パスワード生成の基準を作り、直ぐに変更できるようにする

　な〜んて偉そうに説明してきましたが、私自身、上記ポイントで守れているのは1個位です。本当は、全てに対応しなければならないのですが・・・なかなか手が回りません。

　個人情報を守るためにパスワードが必要で、パスワードを管理するために別のパスワードが必要で、さらにパスワードのバックアップのためにもパスワードが必要・・・

　何か、どんどんパスワードが増えていく一方ですが、今の世の中、インターネットが使えないと生きていけない世界になってしまいましたので、パスワードの管理は「やるしかない」と諦めるしかありません。

　皆さんも、便利ツールを活用し、Webサイトを安全に使いこなして下さい。

　以上

　　　　※参考サイト：http://itpro.nikkeibp.co.jp/article/COLUMN/20120802/413684/

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc