facebookやTwitterなどのSNS、そしてAmazonや楽天などのECサイト、それに加えて決済の手段として欠かせないネットバンクなど、インターネットを便利に使うために、私たちは様々なWebサイトでパスワードを利用しています。
多くのWebサイトでIDとパスワードが必要になるから、もう全部のWebサイトで同じIDとパスワードを使っているという人もいるかもしれません。
「IDとパスワードを使いまわしてはいけない」
と、頭では理解していても、自分だけは大丈夫って思ってしまいますよね。
それではパスワードを使いまわしていると、具体的にどのような被害に遭ってしまうのでしょうか。
ここで「パスワードリスト攻撃」と効率的なパスワード管理について詳しく紹介したいと思います。
目次
パスワードリスト攻撃とは?
パスワードリスト攻撃とは、すでに流出してしまったIDとパスワードの組み合わせを使って、複数のWebサイトへの不正アクセスを試みる攻撃のことです。
例えばあなたが使っているfacebookのアカウントのIDとパスワードの組み合わせが流出して、その情報が攻撃者が持つリストに含まれていたとします。
そこで攻撃者は、そのIDとパスワードの組み合わせを使って、Twitterへの不正アクセスを試みます。
この時、あなたがfacebookとTwitterで、同じID、同じパスワードを使っていると、攻撃者は難なくTwitterへの不正アクセスを実現してしまいます。これがパスワードリスト攻撃の概要です。
つまり漏洩したIDとパスワードはfacebookのものだったのに、Twitterへの不正アクセスに使われてしまうのです。
ここで勘のいい人ならお分かりかもしれませんが、これはIDとパスワードの組み合わせを使いまわさなければ、被害は未然に防ぐことができます。
「普段からSNSなどを使っているけど、特に何の被害もない。不正なアクセスの痕跡もない。だから大丈夫」
もしかして、あなたはそんな風に考えていませんか?
目立った被害が発生していないから、自分は大丈夫だと思い込むのは、ちょっと危ないかもしれません。
悪意のある攻撃者は、一般人のIDとパスワードを入手したからと言って、すぐに攻撃や不正アクセスを仕掛けたりすることはないからです。
ところで、攻撃者はIDとパスワードのリストをどのように手に入れるのでしょうか?
実はインターネットには違法なコンテンツが流通している「ダークウェブ」と呼ばれる世界があります。
攻撃に使われるIDとパスワードのリストは、このダークウェブ上で取引されていることがあります。
ダークウェブとはどのような世界なのでしょうか。
流出したパスワードが取引される「ダークウェブ」とは?
さきほども説明したように、IDとパスワードを入手した攻撃者は、すぐにその情報を使って攻撃を仕掛けることはありません。
それでは、何のために攻撃者はパスワードを狙うのでしょうか?
理由は様々ですが、主な理由の一つに
「不正アクセスできるIDとパスワードのリストを販売する」
という目的があります。
「販売ってどこで販売するの?」
と、気になりますよね。実はインターネットには通常の方法ではアクセスできない闇の世界が存在します。
これを「ダークウェブ」と言います。
ダークウェブには、普段使っているGoogle ChromeやFirefoxではアクセスできません。
ダークウェブにアクセスするための専用のブラウザを使う必要があります。
流出したIDとパスワードのリストは、ダークウェブ上で取引されて、不正アクセスをもくろむ攻撃者の手に渡ります。
ダークウェブにはIDとパスワードのリストだけでなく、不正アクセスに使うプログラムや、メールアドレス、偽造されたクレジットカード、児童ポルノなど、違法な物品やコンテンツが流通しています。
こんなものが流通している世界で、自分が普段から使っているIDやパスワードが取引されていたら、ぞっとしますよね。
しかし残念ながら、一度インターネット上に流出してしまった情報をなかった事にすることはできません。
そうは言っても、複数のIDとパスワードを管理するのは大変ですよね。
それではIDとパスワードを安全で効率的に管理する方法を紹介しましょう。
不正アクセスに負けない、パスワード管理の方法
パスワードリスト攻撃の対策として、IDとパスワードの使いまわしが良くないというお話をしました。
それではパスワードの使いまわしをせず、安全に管理するためには、具体的にどのようにすれば良いのでしょうか。
これから具体的に3つの方法を紹介します。
パスワード管理1:Webサイトごとパスワード文字列の一部を変化させる
この方法はパスワードとしてベースの文字列を決めておいて、Webサイトごとに少しだけその文字列を変更する方法です。
例えば、あなたが普段使っているパスワードが「password」という文字列だったとします。
そして、そのパスワードの文字列に対して、Twitterのパスワードなら文字列の最後に「_tw」をつける、facebookのパスワードなら文字列の最後に「_fb」をつけるという方法です。
例えばこんな感じです。
ベースのパスワード文字列:「password」
Twitterのパスワード:「password_tw」
facebookのパスワード:「password_fb」
この方法ではベースのパスワード文字列を記憶しておけば、あとはWebサイトごとのルールを決めておくだけで、パスワードの使いまわしを防ぐことができます。
パスワード管理2:ブラウザのパスワード管理機能を使う
Google ChromeやFirefoxなど最近のブラウザでは、様々なWebサイトにログインするためのIDとパスワードを記録しておく機能がついています。
この機能を使えば、どんなに難解で複雑なパスワードを設定しても、人間が覚えておく必要がないため、安全なパスワード管理が実現できます。
ただこの方法のデメリットは、記憶するブラウザがインストールされているパソコンでしか管理ができない点です。
自宅で使っているパソコンのブラウザでIDとパスワードを記録しても、職場や外出先のパソコンでは、IDとパスワードの情報は引き継がれません。
そのため、様々な環境で異なるパソコンを使う時に不便さを感じるかもしれません。
パスワード管理3:パスワード管理ソフトを使う
パスワードの管理を専用で行うソフトも存在します。私はWindowsで動作する「ID Manager」を使っています。
パスワード管理ソフトは他に様々なものがあります。ブラウザのアドオンとして提供しているものもあるので、いろいろ試してみて気に入ったものを使うと良いでしょう。
二要素認証も普及している
最近ではIDとパスワードだけの認証では、セキュリティ対策として不十分であるという意見もあります。
そこで登場したのが「二要素認証」です。
二要素認証の「要素」とは以下の3つです。
・本人だけが知っていること
・本人だけが所有しているもの
・本人自身の特性
これら3つの要素のうち、2つ以上を組み合わせて認証する方法が、二要素認証です。
例えば、ネットバンクの場合、通常のIDとパスワードによる認証に加えて、セキュリティトークンを使ったワンタイムパスワードによる認証も活用されています。
セキュリティトークンは「本人だけが所有しているもの」にあたり、これを利用することで、セキュリティを向上させています。
パスワード管理をしっかりと
今回はパスワードリスト攻撃の説明を通じて、パスワード管理の重要性を説明しました。
セキュリティの世界では、毎日のように不正アクセスの事例が報告されています。
そのような現状も踏まえてか、2019年10月7日にJPCERT コーディネーションセンターが「STOP!パスワード使い回し!キャンペーン2019」を始めました。
STOP! パスワード使い回し!キャンペーン2019
https://www.jpcert.or.jp/pr/stop-password.html
上のリンク先では、パスワード管理の基本について、非常に丁寧に解説されています。ここで紹介した内容も含まれているので、復習の意味も込めて、チェックしてみてくださいね。