京葉銀行
2023
2/20

あなたのネット利用も狙われている!
すぐに始めたいパスワードを
守る5つのテクニック

あなたのネット利用も
狙われている!すぐに始めたい
パスワードを守る5つのテクニック

自己啓発セキュリティ
自己啓発セキュリティ

ホームあなたのネット利用も狙われている! すぐに始めたいパスワードを守る5つのテクニック

オンラインによる本人確認や決済手続きが可能になったことで、時間や場所を選ばずに仕事や買い物、振り込みなどができるようになりました。しかし、IDやパスワードの入力で本人確認が完結するということは、その情報が漏洩した場合、悪意ある第三者が「あなた」として各種システムやサービスを利用できるということにほかなりません。

こうしたなりすましによる不正アクセス行為は、令和元年以降、1年間に2千件以上のペースで発生しており、他人事ではありません。一人ひとりが正しい知識を身につけ、自衛することがますます大切になってきています。

引用:

総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

この記事は、各種オンラインシステムやオンラインサービスのログイン時に必要となる「パスワード」にスポットを当て、パスワードやIDの漏洩パターンを紹介します。また、すぐに実践できる強いパスワードの作り方や保存方法などの5つのテクニックについて解説します。
デジタル技術を活用しながら真に安心・安全・快適な生活を送るため、ぜひ最後までお読みいただければと思います。

パスワードが漏洩すると、一体どのようなことが起こるのでしょうか。「金銭的な被害」と「犯罪への加担」の2つに分けて見ていきましょう。

金銭的な被害

オンラインショッピングを日常的に楽しむ人は少なくないと思います。もし、オンラインショッピングに使っているアカウントが漏洩してしまうと、あなた以外の第三者がECサイトへアクセスできるようになります。

その結果、あなた以外の第三者が、無断で物品やサービスを購入できてしまうかもしれません。あなたが、同じパスワードを複数のECサイトで使いまわしていた場合は、次々にアクセスされてしまい、被害が拡大する可能性も。支払いのために登録しているクレジットカードの利用限度額まで買い物をされてしまう恐れがあるのです。

また、ネットバンキングでも注意が必要です。ネットバンキングとは、インターネットを利用した銀行などの金融取引のサービスです。時間や場所を選ばず取引ができて非常に便利ですが、もしもパスワードが漏洩すれば、預金を不正に引き出されてしまう可能性があります。

不正利用に対して、各金融機関は未然防止に向けた周知活動などの対応に取り組んでいます。京葉銀行では、パスワード漏洩の申し出があった場合、速やかに該当サービスの利用停止手続きを行い、パスワード変更および警察や決済事業者などへの相談のご案内を行っています。

  • インターネット上で、第三者が別人になりすまして不正行為を行うこと

犯罪への加担

ソーシャル・ネットワーキング・サービス(以下、SNS)やウェブサイト、メールアドレスなどのIDやパスワードが漏洩した場合、悪意ある第三者によって、あなたのアカウントがサイバー犯罪に利用されてしまう可能性があります。

ウェブサイトの内容が悪意ある内容に改ざんされたり、自身のメールアドレスがウイルス添付メールの送信に利用されたりするなど、他のパソコンを攻撃するための中継地点として使われてしまうことがあります。その結果、身に覚えのない犯罪行為に加担させられることになります。

会社の業務で使用している各種のIDやパスワードが漏洩すると、業務用のパソコンに保存されていた顧客情報などの機密情報にアクセスされる恐れがあります。顧客情報が流出した場合、その企業の社会的信用が損なわれたり、多額の賠償責任が生じたりすることが考えられます。企業そのものの存続が脅かされることにつながりかねないのです。

パスワード漏洩は金銭的な被害だけでなく、社会的信用まで失う可能性をはらんでいることを、胸に留めておきましょう。

パスワードが漏洩する危険性はどこに潜んでいるのでしょうか。企業、個人それぞれの場合で見ていきましょう。

企業側の漏洩パターン

(1)外部からの不正アクセス

アクセス権限を持たない人物が、サーバやシステム内部へ侵入を試みるのが不正アクセスです。近年、不正アクセス手段として横行し、被害を拡大している手口に「リスト型攻撃」があります。リスト型攻撃とは、何らかの手段で不正入手したIDやパスワードをリストのように用いて、複数のサイトに対してログインを試みる手口です。

(2)従業員による不正な個人情報の持ち出し、流出

企業情報漏洩の原因として考えられる1つの事例が、従業員からの漏洩です。顧客情報の売却をもくろみ、情報を持ち出す「産業スパイ」と呼ばれる事例のほか、パスワード情報が含まれるパソコン、書類、データなどを社外で紛失してしまうことで起こります。

(3)ウェブスキミング

ウェブスキミングとは、攻撃者がシステムの脆弱性を突いて決済アプリに不正なプログラムを埋め込み、アプリケーション利用者のパスワードやクレジットカード情報などを盗む手法です。企業自身が気付く前に、カード会社やサイト利用者からの問い合わせで判明するケースもあり、被害が長期化してしまう恐れがあります。

個人の漏洩パターン

(1)フィッシング詐欺

金融機関やECサイト、宅配業者などを装い、メールやSNSメッセージを送りつけ、偽のウェブサイトに誘導してクレジットカード番号やパスワードなどの重要情報を盗み出す行為です。年々、手口が巧妙化しており、緊急性を信じ込ませるような文面を送信し、接続させる偽のウェブサイトを本物のウェブサイトと区別がつかないほどにつくり込むなど、ひと目ではフィッシング詐欺と判別できないケースが増えてきています。

(2)不特定多数の人が利用するパソコンを利用

パソコン内のブラウザには、cookie(クッキー)という機能によって閲覧したウェブサイトや訪れた日時、訪問回数、電子アカウント情報などさまざまな内容の情報が記録されます。不特定多数の人が利用するパソコンでID・パスワードを入力し、情報が自動保存されると、自分の名義で誰でも自動的にログインができる状況になってしまう可能性があるため、注意が必要です。

(3)不正なアプリケーションのインストール

アプリケーションの利用登録の際に、個人情報の登録を求められることがあります。しかし、そのアプリケーションが悪意ある目的で作られていた場合、入力した氏名や住所、年齢性別、メールアドレスなどが他社に売却されたり、二次使用されたりするリスクがあります。

アプリケーションをダウンロードする際は、提供元不明のウェブサイトからではなく、必ず「App Store」や「Google Play ストア」といった、通信事業者が運営する信頼性の高い公式ストアを経由することをお勧めします。また、ユーザーの評価や、「このアプリケーションにアクセス許可するもの」も確認しましょう。少しでも不審に感じる点があればダウンロードは中止した方が安全です。

(4)背後からののぞき見

パスワード漏洩にまつわる脅威はオンライン上だけに止まりません。ID・パスワードを入力している時に、肩越しに情報を盗み見る「ショルダーハッキング」というアナログな手法も存在します。飲食店など、オープンな場所での重要情報の取り扱いは、くれぐれも注意しましょう。

個人で注意を払うだけでは防ぐことが難しい、リスト攻撃のような予期せぬサイバー攻撃からは、どのように身を守ればいいのでしょうか。ここからは、リスト攻撃でも割り出されにくい、強いパスワードの作り方について解説していきましょう。

「できるだけ長く」「複雑に」「使いまわさない」こと

パスワードはできるだけ長くし、小文字と大文字や記号を用いた複雑なもの、そして使いまわさないことが大切です。「12345」といった単純な数字の羅列や「password」といった予想しやすい文字列をパスワードに使用していると、容易に割り出されてしまいかねません。

IPA(情報処理推進機構)の調査では、サービスごとに「異なるパスワードを設定しているという人は30%にも満たなかった」という結果が出ています。被害の連鎖を防ぐためにもサービスごとにパスワードを使い分けましょう。

強いパスワードは「コアパスワード」+「識別子」で作る

パスワードは使い分けた方がいいですが、長く複雑なパスワードを何種類も記憶しておくのは難しいと思います。そこでお勧めなのが、自作した「コアパスワード」とサービスの「識別子」を組み合わせる方法です。

(1)コアパスワードの作り方

はじめに、自分の興味のあることや好きなことから決めたフレーズを一定のルールで変換します。例として「カフェ巡り」という言葉を使って進めてみましょう。

  1. ① 「カフェ巡り」を「cafemeguri」とアルファベット表記に変換します
  2. ② 一部を大文字にし、「cafeMEguri」としてみましょう
  3. ③ お気に入りのカフェの軒数を末尾に追加し、「cafeMEguri05」とします。今回は5軒として、05を追加しました
  4. ④ 最後に「!」「_」といった記号を加えると「cafe!_MEguri05」という14文字の文字列ができました

これを、どのパスワードにも共通して使う「コアパスワード」とします。

(2)識別子の考え方

識別子(しきべつし)とは、さまざまな対象から特定のものを識別する時に用いられる名前や記号のことを表します。サービスの略称や企業の頭文字、URLの一部などから任意の文字列を決め、サービスごとの識別子を作りましょう。

例えば、京葉銀行の識別子を「KYG」にしたとします。先ほどのコアパスワードと合わせると、「KYGcafe!_MEguri05」というパスワードができました。

ネットスーパーなら「nsp」、チケット購入サイトなら「tic」など、コアパスワードとサービスごとの識別子を組み合わせて使えば使い回しを防ぎつつ、強いパスワードを作ることができます。

次に、パスワードを守るためにできる5つのテクニックについてご紹介します。

利用サービスへの対策

テクニック1:パスワードは必要に応じて変更する

「パスワードは定期的に変更した方がよい」という話を聞いたことがあるかもしれません。しかし、変更の方法がパターン化してしまうことや、いくつかのパスワードを使い回してしまうことの方が問題だという意見があります。後者の意見の場合、パスワードを定期的に変更するのではなく、乗っ取りや流出した事実が発覚した際に、速やかに変更することが望ましいとされています。

参考:

総務省「安全なパスワードの管理」

テクニック2:二段階認証、多要素認証のサービスを利用する

ログイン時にIDやパスワードの入力に加え、別のセキュリティコードや指紋などの生体認証で2度ログインを行うのが二段階認証です。

また、「知識情報」「所持情報」「生体情報」という3つの認証から、2つ以上の異なる要素を用いて認証を行う「多要素認証」があります。

これらを採用しているサービスであれば、パスワードが漏洩したとしてもそこから先のアクセスを防ぐことが可能です。

京葉銀行では、インターネットバンキングを利用する際にワンタイムパスワードの活用をお勧めしています。

  • 一定時間ごとに発行される、一度しか使えないパスワードのこと

テクニック3:秘密の質問に違う答えを入力する

アカウントへのアクセスや、パスワードの再発行を行う時のために、あらかじめ設定した質問と回答で本人確認を行う「秘密の質問」という機能があります。これに、まったく違う答えを入れておくのも有効です。例えば「あなたのペットの名前は?」という質問には自分の旧姓を、「あなたの旧姓は?」という質問に好きな場所を回答するなど、このような工夫で第三者はアクセスしにくくなります。

個人での対策

テクニック4:紙のメモで一部のみ管理する

人が出入りする職場のパソコンや、外部でも使うノートパソコンに、パスワードを書いた付箋を貼り付けておくのはやめましょう。第三者に盗み見られる恐れがあり危険です。メモで管理する場合は、サービスの識別子のみ残し、コアパスワードは暗記しておくなど、情報を分けて管理しましょう。

テクニック5:パスワード管理のアプリケーションを活用する

パスワードをExcelやWord、その他専用サービスなどに入力して管理し、ファイル自体にもパスワードを設定してアクセス制限をする方法もあります。ただ、悪意ある第三者が、パスワードを割り出すための「解析ソフト」を用いてファイルを開く可能性もゼロではありません。
アナログ・デジタル管理の両方にメリットとデメリットがあることを踏まえたうえで、自分にあった方法を選択しましょう。

パスワード漏洩で発生する被害から、強いパスワードの作り方、その守り方までご紹介してきました。こうしたコラムを活用し、正しい知識を身につけることが、あなたの財産とあなた自身を守るための強力な武器になります。ぜひ参考にして、安全で快適なインターネットライフを送ってください。

著者:小田恵

広告代理店にてデザイナー、編集プロダクションにて児童書や図鑑の編集を経験したのち、家族の海外赴任に帯同した先で現地在住日本人向けのニュース、ビジネス、生活情報を発信する総合週刊誌の編集者を務める。現在はフリーランス編集者/ライターとして書籍編集・企業系インタビューを手がけ、「人」にフォーカスしたストーリーをはじめ経営ノウハウ共有、導入事例、インナーブランディング、採用コンテンツ記事などを執筆。