目次
オンラインバンキングやネットショッピング、ソーシャルメディア、クレジットカードの管理ページなど、インターネット上で利用できるサービスが多様化すればするほど、アカウントを守るためのパスワードの使用に神経質になる人が増えています。
単純な文字列やすぐに連想できるパスワードだけでは、アカウントを保護するには不十分で、パスワードが破られた場合、深刻な被害をもたらすことになります。ハッカーからすると、パスワードをハッキングすると、アカウントを乗っ取ったり、悪用したりすることができるので、とても価値のある行為だと考えるでしょう。
パスワード強度の強化を最優先事項として考えてもらうために、ここからはパスワードを解読される恐れのある攻撃について紹介します。
攻撃者がパスワードを解読するために使用する最も有名な方法の1つに、ブルートフォース攻撃があります。ブルートフォース攻撃とは、その特徴から「総当たり攻撃」とも呼ばれていて、ユーザーのログイン情報やパスワードを解読するために、考えられるあらゆる組み合わせを試す攻撃です。
これは昔からある攻撃方法ですが、今でも効果があるためハッカーが使っています。パスワードの長さや複雑さによっては、解読に数秒しかかからないものもあります。
また、「リバースブルートフォース攻撃(逆総当たり攻撃)」という手口もあります。IDとパスワードで構成されるログイン情報のうち、ブルートフォース攻撃はIDは固定でパスワードを総当たりして探る攻撃ですが、リバースブルートフォース攻撃はパスワードは固定でIDを総当たりします。
ソーシャルエンジニアリング攻撃とは、心理的な操作を用いてユーザーを騙し、セキュリティ上のミスを犯させたり、機密情報を教えさせたりするサイバー攻撃の一種です。一般的に、ハッカーがユーザーからパスワードなどの重要な情報を入手する際に利用します。フィッシング、スピアフィッシング、ビッシング、トラッシングなどがこれにあたります。
ハッカーがパスワードを不正に入手するためによく使うソーシャルエンジニアリング攻撃が、フィッシングです。フィッシングとは、信頼できる相手を装ったハッカーが偽のメールを送り、ターゲットに自発的に個人情報を開示させる手口です。時には、偽の「パスワードのリセット」画面に誘導したり、リンクから悪意のあるコードをターゲットのデバイスにインストールさせたりして、パスワードを抜き取ることもあります。
辞書攻撃はその名のとおり、ハッカーが辞書を使って攻撃する手口で、「ディクショナリアタック」と呼ばれることもあります。ブルートフォース攻撃では、記号、数字、文字のあらゆる組み合わせを試しますが、辞書攻撃では、辞書に載っているような、あらかじめ用意された意味のある単語(日常的に身近な単語)のリストを試します。
ブルートフォース攻撃は、パスワードに使用可能なすべての文字列を試すため、試行回数が多く、膨大な時間を要する傾向にあります。一方、辞書攻撃は、限られた数の文字列を使用するため、比較的短時間でパスワードを解読することが可能です。
未だにパスワードを「123456」などと、ハッカーが簡単に解読できるものにしている人はいませんか?6桁での最悪なパスワードランキングの1位に、「123456」がランクインしています。同様に、「password」「111111」「qwerty」などのパスワードも、ハッカーによって瞬時に破られてしまうため、絶対に避けましょう。
ここからは、パスワードを作成するにあたり、してはいけないことや気をつけるべきことについて紹介します。
これが最も重要な要素です。最低でも10文字以上のパスワードを使用するようにしましょう。パスワードの文字数が多ければ多いほど、ハッカーが解読するのに時間がかかります。
SNSやオンラインバンク、ネットショップなど、オンラインでやりとりをすることが増えた今、ネット上に複数のアカウントを持っている方がほとんどでしょう。
それぞれのアカウントで同じパスワードを使うのは簡単ですが、これはかなりの危険行為です。ひとつのサイトからパスワードが流出すると、他のサイトにも影響が及ぶ可能性があります。どんなに面倒でも、サイトごとに異なるパスワードを設定しましょう。
大文字、小文字、数字、特殊文字を含めて、パスワードの強度を高めましょう。文字の数は多ければ多いほど強くなります。異なる種類の文字を組み合わせることで、ブルートフォース攻撃でハッカーがパスワードを解読するのが難しくなります。
ただし、サイトによっては、パスワードで使える文字の種類が異なるので気をつけましょう。
パスワードの桁数を増やすと、ハッカーがパスワードを解読するのに難易度が飛躍的に高まります。さらに、パスワードの桁数を知られないようにすることも効果的です。桁数がハッカーにバレてしまうと、ブルートフォースアタックに使われるツールを使って、適切な桁数だけを試され、容易にパスワードを解読されてしまう可能性があるからです。
パスワードに、ユーザーの氏名や子供の名前、ペットの名前、好きなアーティストなどの単語が含まれていれば、ハッカーは簡単にパスワードを解読することができてしまいます。
意味のある語句を使用すると、辞書攻撃の被害に遭いやすくなってしまいます。人間が覚えやすい言葉は、ハッカーにとっても推測しやすいことを覚えておきましょう。
既存の単語や固有名詞を使わず、ランダムな文字列を使うことが大変重要です。
心当たりがある方は多いと思いますが、オンラインアカウントに保存されている機密データを安全に保ちたいと考えている割には、そのほとんどが非常に弱いパスワードで保護されているというのが現状です。誰にも推測できない、かつ自分が覚えやすいパスワードの考え方を知りたいという方は多いでしょう。
幸いなことに、ユニークで強力なパスワードを作成するには、さまざまな方法やアイデアがあります。ここからは、オンラインアカウント用に安全なパスワードを選ぶ方法や、忘れないパスワードの作り方のヒントやルールをご紹介します。
自分で強力なパスワードを考える時間がない場合は、パスワード生成ツールを使うと、安全で強力なパスワードを素早く作成できます。パスワード生成ツールは、パスワードに使える記号を含むランダムな文字列でパスワードを作成するので、これをコピーして、さまざまなデバイスやメール、ソーシャルメディアのアカウントなど、プライベートなアクセスが必要なもののパスワードとして使うことができます。
パスフレーズはパスワードよりもはるかに安全です。パスフレーズは一般的に長いため、ハッカーが推測したり、ブルートフォース攻撃を仕掛けたりするのが難しくなります。パスフレーズを作成する際は、一つの単語ではなく複数の単語を組み合わせます。さらに、単語の一部を数字や大文字に置き換えたり、記号を挿入したりすることで、よりパスワードの安全性を高めることが可能です。以下に、パスフレーズの例を紹介します。
パスフレーズを使う際の注意点として、第三者が推測しやすいフレーズや単語の組み合わせを選んだり、別のアカウントでパスフレーズを使い回したりすると、パスワードの強度は弱くなってしまうので、できる限り避けましょう。
ダイスウェアとは、サイコロをふって、「ダイスウェア単語一覧」と呼ばれる単語のリストから、ランダムに単語を選択し、パスフレーズを作成する方法です。各単語に5桁の数字が割り当てられており、その数字は1~6になっています。単語リストの一部を次に示します。
数字 | 単語 |
---|---|
24456 | eo |
24461 | ep |
24462 | epa |
24463 | epic |
24464 | epoch |
の数字は1~6になっています。単語リストからの小さな抜粋を次に示します次に、6面のサイコロをいくつかつかみ、数回転がして、出た数字を書き留めます。パスフレーズの最初の単語を思い付くには、合計5回サイコロを振る必要があります。
例えば、サイコロを降った際に2、4、4、6、3という順に数字が出た場合、ダイスウェアの単語リストで「epic」という単語が表示されます(上の表の4番目)。それがパスフレーズの最初の単語になります。より強力なパスフレーズが必要な場合は、たくさんサイコロを降って、より多くの単語を使用しましょう。
ニーモニックとは、ユーザーが覚えやすいフレーズを選び、そのフレーズの各単語を表す文字(多くの場合、最初の文字)を使用する方法です。
以下にフレーズと強力なパスワードの例を紹介します。フレーズを作るための言語は、日本語(ローマ字)でも大丈夫です。
パスフレーズ | パスワード |
---|---|
I first went to Tokyo Disneyland when I was 3 years old and I still remember it | I1stw2TDLwIw3yrs&isrI |
My friend Lisa has two sons and they are so playful | MfLh2s&TresP |
For the first time ever, Ganba Osaka lost 5:0 to Kashima Antlers | 4da1sttymevaGO5:02KA |
Tesla to Ferrari ni notte Odaiba ni iku soshite yakei wo miru | TtFnnOni&ywm |
強いパスワードがオンライン防御策の全てではありません。NordVPNでさらなる防御を!
NordVPNを購入各オンラインアカウントに強力なパスワードを設定したら、悪意のある第三者からパスワードを安全に守りましょう。ここからは、パスワードを安全に守る方法を紹介します。
自分で強力なパスワードを作成している人も、オンラインサービスを利用してパスワードの強度を高めている人も、優れたパスワードマネージャーを使用すべきです。優秀なパスワードマネージャーは、すべてのアカウントのために作成したパスワードを、1つの安全なオンラインアカウントで生成、保存、管理してくれます。パスワードマネージャーを使うことで、入力するたびにパスワードを思い出す必要がなく、好きなだけユニークなパスワードを安全に保管することができるので、とても便利です。
すべてのオンラインアカウントのパスワードをパスワードマネージャーに保存し、1つの「マスターパスワード」で保護するだけで、パスワードを安全に保つことができます。
一度パスワードマネージャーを設定してしまえば、オンラインアカウントにログインする際に、マスターパスワードをパスワードマネージャーに入力するだけで、アカウントへのログイン情報が表示されます。また、メールアドレスやユーザー名もパスワードマネージャーに登録できるので、どのアカウントでどのメールアドレスやユーザー名を設定していたかを思い出す必要もありません。
万が一、パスワードを盗まれてしまった場合でも、多要素認証でセキュリティを強化することで、ハッカーがあなたのアカウントへアクセスすることを防げます。多要素認証とは、アカウントにログインする場合、正しいパスワードを入力した後に、特別なアプリ、ワンタイムコード、または2台目のデバイスで認証しなければならないという仕組みです。多要素認証にはワンタイムコードがよく採用されています。
ワンタイムコードは携帯電話へのテキストメッセージで送られますが、これは必ずしも最も安全な方法とは限りません。なぜなら、ハッカーがSIMスワップ詐欺であなたの携帯電話番号を盗み出し、認証コードにアクセスする可能性もあるからです。代わりに多要素認証アプリを使用した方がはるかに安全です。NordVPNも多要素認証機能を搭載したアプリを提供しているので、この機能を利用してウェブ上のアカウントを守りましょう。
当たり前のように聞こえるかもしれませんが、文書、電子メール、オンラインノートなど、ハッキングされる可能性のあるものにパスワードを保存することは避けなければなりません。特に、仕事で複数の人が使用するパソコンは絶対にパスワードを保存しないように心がけましょう。
また、パスワードを他人と共有しないことも大切です。同僚や、IT·テクニカルサポートチーム、カスタマーサービス·ヘルプデスク担当者、家族、友人などにも共有しない方がいいでしょう。
前述の通り、パスワードを秘密にしておくことはとても重要です。たとえ相手を完全に信頼していたとしても、テキストメッセージや電子メールでパスワードを送信するのは、悪意のある第三者に傍受される可能性があるので危険です。
あなたが通話中にパスワードを読み上げたり、隣の席の人に口頭でパスワードを伝えたりしているだけでも、誰かに聞かれたり、メモされたりする可能性があるので、避けるのが得策です。
公共の場で不特定多数の人たちが利用できるフリーWi-Fiを利用する場合は、VPNを利用しましょう。VPNとは、ネット上にある仮想専用線の安全な経路を通じて、機密情報をやり取りしたり、悪意のある第三者が機密情報を盗み見るなどの脅威から保護したりすることができる仕組みです。
公衆Wi-Fiには脆弱性があると指摘されていて、ハッカーがこの公衆Wi-Fiを利用してパスワードなどの重要な情報を盗む手口が増えているので、使用する端末にVPNを導入して、安全にデータをやり取りしましょう。