安全なパスワードのつくり方 漏洩対策や管理アプリ、流出チェック法まで紹介

インターネットにまつわるさまざまなスマホトラブルや、世間を騒がせているネット詐欺の手口や事例を解説し、セキュリティに関する疑問に答える本連載。

第3回は「パスワード」のお話。

身近なサービスで不正ログインが頻発

世間を騒がせたQRコード決済の不正利用をはじめ、不正ログインのニュースを目にすることが増えている。安全なパスワード管理の必要性が問われるなか、自分が不正ログインの被害に合わないためにはどうすればいい？

安全なパスワードのつくり方や管理について、KDDIで不正利用対策を専門に行っているUX・品質統括部の新井 契（ひさし）にTIME & SPACE編集部が話を聞いてみた。

KDDI 新規ビジネス推進本部 UX・品質統括部 セキュリティ・設備品質グループの新井契。社内では「セキュリティ先生」と呼ばれ、auのお客様が安心してサービスを利用できるようにセキュリティ対策を推進する

パスワードの使いまわしは禁止

――最近も身近なサービスで不正ログインの被害がありました……。セキュリティレベルの高いパスワードが求められていますけど、アカウントをつくる度に新たなパスワードが必要になると、正直なところ少々面倒ですよね。結局、同じパスワードを使いまわしている人も多いと思うんです。

新井「「まず、パスワードの使いまわしは絶対にダメです。ひとつのサービスでパスワードが流出すると、ほかのサービスまで一網打尽で不正ログインされる可能性があるからです」」

――そもそもの話、誰かのパスワードってそんなに簡単に手に入れることができるんですか？

新井「「できますね。どこかで流出したパスワードのリストが実際に闇市場で売られています。それを入手して『リスト型攻撃』という不正ログインを行い、個人情報を見たり、勝手に買い物をしたりするのです」」

――めちゃめちゃ怖いですね。ただ、サービスごとにパスワードを変えるのは、覚えるのも大変で、結局、簡単なものになりそうです。

新井「「簡単なパスワードは突破される可能性が高いので、それも危険です。パスワードに使われそうなフレーズはすでにリスト化されていて、それを試していく『辞書攻撃』で破られる可能性がありますから。短いパスワードは文字列の組み合わせをすべて試す『総当たり攻撃』で破られる危険性が高いんです。

参考までに、情報処理推進機構（IPA）の調査を見てみましょう。パスワード解析ツールを使用した解読時間は、英字4桁ならわずか約3秒、6桁でも約37分で解読されてしまうんです。ところが10桁になれば解読まで約32年、さらに英文字の大文字と小文字の区別を入れて数字を足すと、8桁なら約50年もかかる計算になります」」

「使用できる文字数と入力桁数によるパスワードの最大解読時間」。出典：情報処理推進機構

新井「「2008年の調査でいまとはPCの処理速度などは異なりますが、パスワードの桁数を増やして、英字などを混ぜることで解読までの時間が伸びることは間違いありません。パスワードは長くて複雑で、他人から推測されにくいものがふさわしいのです」」

――なるほど。とはいえ、長くて複雑で使うサイトごとに違うパスワードなんて覚えられそうもないです。ひとつくらいなら頑張れば覚えられるかもしれないけど……。

新井「「ではコアパスワードを決めて、それ以外の部分をサービス名ごとに変更するのはどうでしょう」」

コアパスワードは辞書でランダムに3単語を選んでローマ字化

――コアパスワードはどのようにつくればいいんですか？

新井「「辞書などで、自分とは関係のない言葉を3つ選んで、ローマ字にしてつなげるだけです。その際は、読み仮名で2文字程度の短い単語は避けるようにしてください。これだけで長いし、第三者に推測されにくくなります。そして、このコアパスワードにサービス名の短縮文字を加えます。たとえば下記のように」」

――これなら推測するのは無理そうですね。コアパスワードの3単語さえ覚えておけば、サービスが増えても対応できます。

新井「「ただ、もし利用しているサイトなどからパスワードが漏れた場合は、必ずコアパスワードを変更してください。サービス名を加える法則がバレる可能性はゼロではありませんから」」

好きな小説＋好きなフレーズはアリ？

――といっても、単語を選ぶのが少し面倒なのですが……たとえば好きな小説や映画などのタイトルに好きなフレーズを加えて、コアパスワードにするのはどうでしょう？

新井「「ほう？ たとえば？」」

――［gundamamuroikimasu］とか？

新井「「なんですかそれは？」」

――ガンダム「アムロ行きまーす！」です。

新井「「……それはちょっと危ないかも。ガンダムで『アムロ行きまーす！』はあまりに有名ですから。そもそも、好きな小説などの趣味、嗜好は身近な人やSNSを注意深く見られていると推測されてしまう可能性があります。そうするとフレーズだけを選んでいるのと変わりません。パスワードは自分の主観のはいらないものを選んだ方がいいですよ」」

――うーん……確かに。好きな小説なんか普段の会話でも出てしまうかもしれないし、うっかりSNSのプロフィールに書いてしまうかもしれませんね。

新井「「それから語呂合わせもやめましょう。余談ですが、過去に海岸でサーファーのクルマが一斉に車上荒らしにあった事件があって、その犯人はキャッシュカードの暗証番号がことごとくわかったそうなんです。なぜだかわかります？
みんなパスワードが『いいなみ（1173）』だったんです」」

――わかりやすいかも！ 安直なパスワードはダメということですね……。

ブラウザにパスワードを保存するのはアリ？

――ところで、通販サイトなど、Webフォームで「パスワードを保存しますか？」と出ることがありますよね。保存すると、次にログインしたとき、パスワードなどの入力がなくてラクですが、セキュリティの観点では大丈夫なんですか？

ブラウザのパスワード保存画面

新井「「ブラウザにパスワードを記憶させるのもひとつの方法ですが注意点があります。なぜなら、他人が勝手にサービスを利用する恐れがあるからです。たとえば、デスクでPC作業をしていて席を外したときに誰かがログインして操作するとか。

ほかにもPCやスマホの紛失や盗難があった場合に、パスワードやロック解除のパスコードが脆弱だと、そのままネットショッピングで買い物をされたり、保存しているパスワードを盗み見られたりする可能性もあります。なので、PCから離れるときは必ずロックするとか、スマホのロックをかけておくようにしましょう」」

――わかりました。ブラウザにパスワードを保存するときは、PCやスマホのロックをかけるようにします。そのときのパスワードは教わった方法でつくったものにすればいいですね。

アプリでパスワードを管理する

新井「「ちなみにパスワードに関して、内閣サイバーセキュリティセンター（NISC）が公開している冊子、『インターネット安全・安心ハンドブック』が参考になります。パスワードだけでなくインターネットを使ううえで気を付けるべきことがわかりやすく書いてありますよ」」

内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」

――ここには、パスワード管理方法のメリット・デメリットもまとめられていますね。特に、スマホ用のパスワード管理アプリはセキュリティレベルが高いようです。

パスワード管理方法のメリット・デメリット。「インターネットの安全・安心ハンドブック」より

新井「「そうですね。スマホを持ち歩くことを考えればスマホアプリを使うのも一案だと思います。たとえば『1Password』アプリは、IDやパスワード、クレジットカードなどの保存・管理ができます。使い方はアプリにサイトごとのIDやパスワードを登録し、アプリ自体のマスターパスワードでロックをかける仕組みです。すべてのパスワードを覚えておかなくても、マスターパスワードさえ覚えておけば、各サービスでID、パスワードを入力せずに自動ログインができます。パスワードを自動でつくる機能もあるので、サイトごとに複雑なパスワードも簡単につくれますよ」」

「1Password」の画面

――パスワードの記憶・入力の煩わしさから解放されそうですね。

新井「「ええ。ただし、アプリを起動するためのマスターパスワードは非常に重要なので、先に伝えたコアパスワードのつくり方の、辞書から選ぶ単語を4つにするとよいでしょう」」

こちらの記事もあわせてどうぞ

使い回しは絶対ダメ！ 強固なセキュリティ対策に『パスワード管理ツール』を

パスワードの流出を確認できるサイトとは？

新井「「もし、自分のパスワードが流出していないかが気になる人は、「Have I Been Pwned」というサイトをチェックしてみては。これは自分のIDやパスワードが流出していないかを簡単に検索できるサービスです。

オーストラリアのセキュリティ専門家Troy Hunt(トロイ・ハント)氏が運営するサイトで、過去にインターネット上で漏えいした約78億6000件のデータを保管しています（2019年7月現在）。メールアドレスを入力して検索するだけで、データベースに一致した過去の個人情報流出やパスワード漏えいの有無などをチェックできます」」

「Have I Been Pwned」のトップ画面

――試しにやってみましたが、仕事のメールアドレスで確認したところ流出が０件でした！

データの流出がなければ、緑の背景色で「Good news — no pwnage found!」と表示

――続いて個人のメールアドレスで確認したところ、なんと流出が1件……。流出元は2013年に1億5千万件ともいわれるパスワード大流出事故を起こした某ソフトウェア会社でした。すでに退会したサービスだったけど、本当にデータが流出していたとは……こわッ！

データの流出が見つかれば「Oh no — pwned!」のメッセージが表示

新井「「データの流出が発覚した場合は、流出元のサイトにアクセスしてすぐにパスワードを変更しましょう。流出したパスワードを使いまわししていたら、ほかのサービスもログインされてしまう可能性があるので、すべて変更してください。

また、『Pwned Passwords』という機能を使えば自分が使っているパスワードと同じものが流出しているかを調べることができます。もしも自分が使っているパスワードが、他人からでも漏れていた場合は、そのパスワードは危険なので使わないようにしてください」」

パスワードを検索できる「Pwned Passwords」。右上のタグからアクセスできる

――ここで［123456］のパスワードを入力してみたところ、2317万4662件もの流出情報が！ 安易なパスワードは危険なことがよ〜くわかりました。パスワードは覚えやすいもので簡単に決めがちですが、やはりセキュリティレベルの高いものが必須ですね。

新井「「その通り。パスワードは自分のデータを守るための砦です。容易に突破されない工夫をしましょう。最後に安全なパスワード管理5か条をまとめたのでチェックしてみてください」」

――わかりました。これを参考に自分だけのコアパスワードをつくってみます！