2017/11/02

使い回しは絶対ダメ! 強固なセキュリティ対策に『パスワード管理ツール』を

のっけから失敗談で恐縮だが、実は数年前、筆者はSNSのアカウントを乗っ取られ、身に覚えのない広告代を請求されたことがある。

つまり、どこかの悪者が筆者のアカウントでSNSに広告を出し、偽ブランド品のサイトに大勢の人をだまして誘導していたのである。気づいたのが早かったため、カード会社に報告して不正アクセスと認めてもらい、金銭的な実害は生じなかった。

なぜ、知らない人が筆者のアカウントを乗っ取ることができたのか、どうやってパスワードがわかったのか。謎はつきないが、大あわてでパスワードを変えた。

読者の皆さん。パスワードを盗まれたり、推測されたりした結果、サイバー犯罪の餌食になるというのは、遠い別世界のお話ではなく、いまやごくごく身近な出来事なのです。

難攻不落のパスワードのつくり方

パスワードを盗む攻撃の方法のひとつに、「パスワードリスト型攻撃」というものがある。流出した顧客リストなどから得たIDやパスワードを使い、本人になりすましていろんな悪さをすることだ。買い物ポイントを勝手に使われたり、筆者のようにわけのわからない広告代を請求されたり、最悪の場合はクレジットカード情報が盗まれることもある。

このパスワードリスト型攻撃のほかにも、文字の組合せをすべて試してみる「パスワード総当たり攻撃」、使われそうな文字をかたっぱしから試していく「辞書型攻撃」など、悪者ハッカーがありとあらゆる高度な手を使って、パスワードの壁を突破しようとする。

こうした攻撃から身を守るには、どのような対策を取ればよいのか?

■数字と英字、記号を組み合わせて、なるべく長い文字列にする

たとえば10ケタのパスワードの時、数字だけでできるパスワードは100億通り。これは、ハッカーが自動化されたプログラムによって暗号鍵をひたすら入力する総当たり攻撃をおこなった場合、十分に推測されてしまう組み合わせ数だ。ところが、数字に英字(大文字・小文字)と記号を加えると、なんと、約278,500,976,009億通りになり、総当たり攻撃でパスワードを割り出すのは事実上不可能になる。

■ひとつのパスワードを使い回さない

どんなに複雑なパスワードにしたとしても、それが流出してしまえば意味はない。ちなみに、日本ネットワークセキュリティ協会の調査では、2016年にはなんらかの事件・事故によって、1,396万5,227人もの個人情報が漏えいしている。たったひとつのパスワードが漏えいしただけでも、その人がいろんなサービスで同じパスワードを使い回していたとしたら、すべてアウト。サービスごとに、異なるパスワードにするのは必須なのだ。

パスワード管理アプリがあれば超楽ちん

と、ここまで読んで、あー、なんと面倒くさい!! そう思った人は多いだろう。暗記できないような複雑なパスワードをつくって、しかも、サイトやサービスごとに違うものにするなんて、確かに誰だって面倒くさい。というか、不可能だ……。

そこで出番となるのが、パスワード管理アプリだ。ログインに必要なIDとパスワードから、クレジットカードなどの個人情報まで、安全に保存・管理してくれるだけでなく、入力の手間いらずの自動ログインもしてくれるというすこぶる便利なアプリのことだ。

筆者も悪者ハッカーにFacebookアカウントを乗っ取られて以降、このパスワード管理アプリを愛用。パスワードを覚える必要がないから、これなしではもはやどんなログインもできなくなるほど頼り切っているというありさまだ。いかに便利かを、人気の「1Password」(iOS、Android)を例に紹介しよう。

パスワード管理アプリ「1Password」

①まずはアプリそのものの「マスターパスワード」を設定

アプリをインストールしたら、まずは「マスターパスワード」を設定して入力、サイインインする。これは「1Password」を起動するためのパスワードだから、金庫の鍵みたいなものだ。安全なパスワードをしっかり考えて入力しよう。と書くと、起動するときにいちいち複雑で長いパスワードを入れるんだったら本末転倒じゃんと思った人もいるだろう。だが心配ご無用。いったんセッティングしてしまえば、パスワード入力のかわりにTouch IDなど、指紋認証で一発起動できるので楽ちんなのである。

マスターパスワード設定画面

②サイトやサービスごとのパスワードを設定しよう

サイトやサービスへのログインを、IDやパスワードを自分で入力せずに「1Password」に自動的にしてもらうには、当然のことだが各ログインごとの設定が必要だ。「1Password」にはもともと、さまざまなサイトやサービスの設定項目が用意されているので、たとえばFacebookの設定をしたいのであれば、「New Login」のところでFacebookをタップすればいい。

そしてユーザー名とパスワードを入力して設定終了。サービスごとにこの設定をしていけばいいし、「1Password」のデフォルトにないものは、新しく自分で名前をつけて設定すればよい。

各サービスごとのパスワード設定画面

「1Password」には内蔵ブラウザがあるので、Facebookにログインしたいときは、「1Password」を立ち上げ、「Login」のページからFacebookを選択、次のページでURLをタップするだけ。ほかのサイトやサービスでも同様。IDとパスワードの入力する労力ゼロで、あっという間にログインができるのだ。

③Safariなどのブラウザから「1Password」を使うなら、スマホ本体の設定を

スマホ搭載のブラウザからログインするときでも「1Password」を使うことができる。たとえばiPhoneのSafariなら、アクティビティの設定画面で「1Password」の使用をオンにしておく。すると共有メニューに「1Password」のボタンが追加されるので、あとはログインしたいサイトのところでこのボタンをタップ。そしてTouch IDで認証すれば、あっという間にログイン終了。もう、このお手軽さを一度知ってしまうと、「1Password」なしのネット生活は考えられなくなる。

④クレジットカードや銀行口座など、さまざまなパスワードも管理可能

ほかにも「1Password」では、クレジットカード、銀行口座、スポーツクラブの会員情報、免許証など、どんな個人情報でも保存・管理ができる。ということは、もしも「1Password」がインストールされているスマホが盗まれたら一大事でもある。

だが、ご安心あれ。「1Password」のパスワードの壁を破ることができなければ、個人情報は完ぺきに守られる。だいいち、「1Password」のアプリをつくった企業ですら、本人がつくったパスワードなしには情報を取り出すことがまったくできないのだから。

さまざまな対象のパスワードが管理できる

自分だけは大丈夫。それが落とし穴

アカウント乗っ取りによるなりすまし、不正利用、そしてクレジットカードなどの個人情報の盗難……すべてはパスワードの壁がいかに頑丈であるかにかかっている。壁を頑丈にするには、複雑で長いパスワードと、そんなパスワードでもワンタッチでログインできる超便利なパスワード管理アプリ、このふたつがあればいい。自分は大丈夫、なんてことはありえないということを覚えておいてほしい。

文:太田 穣