パスワードはなぜ流出するのか?
近年、個人情報やパスワードの流出が後を絶ちません。
サイバーセキュリティ.comの「個人情報漏えい事件・被害事例一覧」によると、2022年に入ってからも個人情報の数にすると5000件/月以上の流出被害が発生しており、情報漏えいが頻繁に起きていることがわかります。
流出した個人情報やパスワードは、悪意のある第三者によって、不正ログインやアカウントの売買等に利用されます。
悪意のある第三者は、さまざまな方法で情報を引き出そうとします。ユーザーからパスワードを入手する攻撃方法は、主に4つあります。
(1)ブルートフォース攻撃
ブルートフォース攻撃とは、直訳すると「総当り攻撃」で、認証情報を解読して入手する手法の一つです。主にパスワードの不正入手に用いられます。
具体的な手法はいたってシンプルで、不正なプログラムによって理論上考え得るすべてのパスワードパターンを機械的に入力するだけです。
例えば、4桁の暗証番号をパスワード(パスコード)とした場合、「0000」から「9999」までの1万通りの組み合わせをすべて試せば、必ず正解にたどり着くことになります。もし、プログラムが1秒に1回パスワードを試せるなら、最大1万秒(約2時間47分)でパスワードが判明することになります。
(2)辞書攻撃
辞書攻撃とは、辞書や人名録などに載っている語句を手当たり次第に入力し、パスワード認証を突破しようとする手法です。
候補となるリストは、文字通り辞書の見出し語から作成する場合もあれば、地名、人名、会社名、商品名などの固有名詞を抽出し、リストに追加する場合もあります。
辞書攻撃は、人間が完全にランダムな文字列を覚えることが難しく、何らかの意味を持つ言葉を好んで使うという心理を利用しており、可能な限りの文字の組み合わせを試すブルートフォース攻撃よりもさらに効率的にパスワードを解読します。
(3)盗聴
ネットワークセキュリティにおいて盗聴とは、ネットワーク上やネットワークに接続されたコンピュータからやり取りされるデータを不正に傍受することを指します。ネットワーク盗聴やパケットスニッフィングと呼ばれることもあります。
盗聴されるデータは、主にパスワード、電子メール、ウェブコンテンツなどです。
(4)パスワードリスト攻撃
近年、パスワードの使い回しを狙った「パスワードリスト攻撃」の被害が急増しています。
パスワードリスト攻撃とは、悪意のある第三者が不正に入手したログイン情報のリストを売買によって入手し、さまざまなWebサービスへのログインを試みるものです。
リストによる不正アクセスの対象として、Amazonや各種SNSなどのメジャーなWebサービスが選ばれやすいのも特徴です。
例えば、あるECサイトでID/パスワードの流出被害が発生したとします。 悪意のある第三者は、そのECサイトではID/パスワードを悪用せず、別のECサイトで同じID/パスワードを悪用しようと試みます。
こうして流出元となったサービス以外でも被害が拡大していくのが、パスワードリスト攻撃の怖さです。
パスワード流出の被害を予防する方法
安全なパスワードの作成
パスワードが他人から容易に推測できる文字列(例:名前、誕生日など)である場合、パスワードの強度は著しく低下します。
また、短い文字列や単語は、辞書攻撃やブルートフォース攻撃により、パスワードが特定されやすくなります。
パスワードを設定する際は、数字、文字、記号などを組み合わせた15桁以上のランダムな文字列を使用することが理想です。
総務省による「国民のための情報セキュリティサイト」では、安全なパスワードの作成条件として、以下の条件を設定しています。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
また、2021年の情報処理推進機構の調査によると、約7割のユーザーが既に推測しにくいパスワードを設定しているとの結果が出ています。
3-5-1. パスワード設定における対策状況(Q7.-1)「推測しにくいパスワード」
推測しにくいパスワードを利用していないユーザーは2~3割にとどまり、実施率が低かった若い世代も過去1年以内に推測しにくいパスワードに変更しています。
このように、ブルートフォース攻撃や辞書攻撃が行われていることは既に周知の事実であり、多くのユーザーが対策を行っています。
パスワードの使いまわしを避ける
パスワードリスト攻撃に代表されるように、ひとつのサービスから流出したアカウント情報を利用して、他のサービスへの不正なログインを試みる攻撃者がいるため、複数のサービスで同じパスワードを使いまわさないようにしましょう。
情報処理推進機構の調査によると、PCユーザーの44.5%、スマートフォンユーザーの54.3%がパスワードを使いまわしているという結果が出ています。
3-5-3. パスワード設定における対策状況(Q7.-3)「使い回しをしない」
一般に推奨される「推測されにくいパスワード」は覚えにくいため、思わず使いまわしてしまっている方がまだまだ多いようです。
せっかく推測しにくいパスワードを利用しているのですから、ブルートフォース攻撃や辞書攻撃対策だけでなく、パスワードリスト攻撃の被害を避けるためにもサービスごとに個別のパスワードを設定しましょう。
※ 定期的な変更は不要!
サービスによっては、定期的にパスワードの変更を求められる場合もありますが、パスワードが破られアカウントを乗っ取られたり、サービスからパスワードが流出した形跡がなかったりする場合は、無理にパスワードを変更する必要はありません。
むしろ問題は、定期的にパスワードを変更することで、パスワードの作り方がパターン化してしまい、同じようなパスワードの使い回しが多くなってしまうことにあります。
総務省の「国民のための情報セキュリティサイト」では、定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが推奨されています。
簡単かつ安全にパスワードを呼び出せる
パスワード管理ツールとは
近年、インターネットバンキングのアカウントや会員サイト、各種サブスクリプションのアカウントなど、一人あたりが利用するWebサービスの数が増えています。
セキュリティを高めるためには、長く、難しいパスワードをWebサービスごとに個別に設定しなければなりませんが、複数のサービスを利用していると覚えきれませんよね。
とはいえ、同じパスワードを使いまわしてしまうのも、一度の流出で大きな被害が出てしまうリスクがあるため好ましくありません。
ブラウザの機能でパスワードを保存しておくという方法もありますが、別の端末からWebサービスを利用したい場合に面倒です。 (デスクトップのWindows PCでGoogle Chromeを使用していて、iPhoneでは日常的にSafariを使っている、というユーザーの場合、両者の間でパスワードが共有されません)
また、記憶させたパスワードが消えてしまうと取り返しがつかなくなってしまいます。
つまり、人力でパスワードを安全に管理する事は難しい、ということです。
これらの問題を解決するのが、パスワード管理ツールです。
パスワード管理ツールは、各種WebサービスのアカウントIDやパスワードを保存・管理するソフトウェアです。
パスワード管理ツールを利用すれば、マスターパスワードを入力するだけで、どの端末でもWebサービスごとのパスワードを安全かつ手軽に呼び出せるようになります。
パスワード管理機能を兼ね備えたウイルス対策ソフト「ESET HOME セキュリティ プレミアム」
「ESET HOME セキュリティ」のスタンダードプランのプレミアムには、強力なパスワードの自動生成から、アカウントや個人情報の一元管理・自動入力、パスワード漏えいチェックまで、幅広い機能でオンラインサービスの利用をサポートする、パスワード管理ツールが備わっています。
Windows/Mac/Android/iOSに対応しており、PCやスマートフォン、異なるWebブラウザ間でアカウント情報を共有することが可能です。
一般的なパスワード管理ツールとの最大の違いは、パスワード管理機能を備えていながら、優れたウイルス対策ソフトでもある点です。
ESET HOME セキュリティ プレミアムは、高度脅威検出、最新の盗難保護など、進化したセキュリティ対策機能を備え、あらゆるOSを強力に保護します。
ESET HOME セキュリティ プレミアムに搭載されている「LiveGuard」は、従来の検査では検出が難しい不審なファイルであっても、ESETのクラウド環境にファイルを送信することで、リアルタイムに詳細な分析を行います。 数秒から数分でほとんどの解析が完了し、悪質なファイルと判断された場合は即座にブロックされるため、新種や亜種のウイルスなど未知の脅威にも対応することが可能です。
さらにESETは、コードの深層解析を行い、その挙動を担う「遺伝子」を抽出してヒューリスティック検知を行う「ESET DNA Detections」を構築しています。
この機能により、ディスクや実行中のプロセスのメモリなど、場所に関係なく疑わしいコードを検査することができます。
これらの機能により、ESETは第三者試験機関による試験で、保護率100%、誤検知ゼロを記録した数少ないセキュリティソフトとして認められました。
扱いやすいパスワード管理機能に加え、強化なセキュリティ対策機能を備えたESET HOME セキュリティ プレミアムをご利用いただくことで、お手持ちのPCやスマートフォンのセキュリティを万全に保っていただけます。
実績と信頼のある保護
ESET エンドポイント セキュリティは、AV-Comparativesによる特別なビジネステストで市場で最も軽量なソリューションとの評価を受けました。
ESETはAV-TESTの2014年および2015年のセルフプロテクションテストで100%のスコアを獲得した唯一のベンダーです。
ESETの製品はこれまでVB100アワードを100回受賞しています。
実績と信頼のある保護
ESETはThe Channel CompanyのブランドCRN®による2017パートナープログラムガイドで3年連続5つ星の評価を受けました。
ESET スマート セキュリティ プレミアムがDigital Citizenの「ベスト・セキュリティ・プロダクト・オブ・ザ・イヤー」 を受賞。