巧妙化する悪質なネットの事件 あなたを守るセキュリティー第39回 パスワードの使いまわし、していませんか?アカウント乗っ取りの危険とその対策 新学期や入学・入社など生活環境が変わり、新たにSNSやショッピングサイトのアカウントを取得する方が増えるこの季節。しかしそのアカウントのパスワードは他のSNSやショッピングサイト、ネットバンキングなどで利用しているものと同じではありませんか?パスワードの使いまわしによる危険性と被害への対策をご紹介します。

アカウント乗っ取りは他人事ではない無視できないセキュリティー脅威のひとつ

インターネット上にはSNS、ショッピングサイト、フリーメール、オンラインストレージサービス、ネットバンキングなどのさまざまなサービスがあります。

こうしたサービスのアカウント作成時にはたいてい「ID」と「パスワード」の登録が求められます。しかし利用するサービスが増えるほど、管理がおろそかになっていませんか?

それぞれのサービスのアカウントで同じIDとパスワードを設定すれば管理が楽になる…と考えるのは実はとても危険な行為なのです。

もしもIDとパスワードが第三者に知られてしまったら…

何らかの方法で、あるSNSのIDとパスワードが悪意のある第三者(攻撃者)に知られてしまった場合、入手したIDとパスワードを使って攻撃者はさまざまなサービスでログインを試みます。

複数のサービスでID、パスワードを同じもの、つまり「使いまわし」している場合、攻撃者はさまざまなサービスにログインできてしまうのです。

もしネットショッピングやネットバンキングのパスワードも使いまわししたものであった場合、ネットショッピングで不正購入されたり不正送金によってお金を奪われてしまう可能性も!

■2015年における不正アクセス後の行為別認知件数:「インターネットバンキングでの不正送金」1531件(74.6%)、「インターネットショッピングでの不正購入」167件(8.1%)、「オンラインゲーム、コミュニティサイトの不正操作」96件(4.7%)、「メールの盗み見等の情報の不正入手」92件(4.5%)、「知人になりすましての情報発信」83件(4.0%)、「その他」82件(4.1%) ※トレンドマイクロ社より転載 [パスワード使いまわしによる被害の例] 他のサービスで使用していたアカウントとパスワード情報を何らかの方法で入手した攻撃者によってSNSアカウントが乗っ取られ、意図しない商品広告を投稿されてしまいました。不正投稿は商品正規Webサイトではなく不正Webサイトへの誘導の内容でした。 ※トレンドマイクロ社より転載
2015年に検挙した不正ログイン行為の手口の内訳 (警視庁発表)「パスワード設定・管理の甘さにつけ込んだもの」 全体の35.3%(117件)、「インターネット上に流出・公開されていたID/パスワードを入手して悪用」 全体の17.2% (57件)となっています。この結果を踏まえ、行える対策をご紹介します。

アカウント乗っ取りを防ぐための3つのポイント

1 第三者に推測されにくいパスワードを設定する

「abcdef」や「123456」といった英数字を規則的に並べただけのものや、「qwerty…」「asdfgh…」などのキーボードの配列を打ち込んだもの、誕生日などの単純な文字列のパスワードは他者が容易に推測できてしまいます。

また、パスワードが覚えられないからとメモ帳などでテキストファイルとして保存することは情報漏えいにつながるおそれがありますのでやめましょう。付箋紙に書いてディスプレイに貼る方法も他者に知られる可能性があるため、おすすめできません。

ここでは、ある程度覚えやすく他者に推測されにくいパスワードの作成方法の例のひとつをご紹介します。

パスワード作成方法の例:1.日本語のフレーズ(単語ではなく簡易な一文)を一つ決めます。⇒例:「今日は雨」 2.文頭を文字にしてローマ字に変換します。⇒例:「Kyo ha ame」 3.日本語の区切り位置に自分の個人情報と容易に結びつかない数字を埋め込みます。⇒例:友人の誕生日 3月16日を埋め込む。「Kyo3ha1ame6」 4.最初と最後の数字と同じキー上にある特殊文字を選んで数字の後ろに埋め込みます。⇒例:数字と同じキー上にある特殊文字(3→#、6→&)「Kyo3#ha1ame6&」

自分なりに法則を決めることで、ある程度推測されにくいパスワードをつくることができます。仮にパスワードを忘れてしまっても法則さえ覚えていればすぐに組み立てることが可能です。

※紹介したものはあくまで一例です。自分なりの法則での作成をおすすめします。
※上記に記載のパスワード作成方法の例で作成したパスワードを、自分のアカウントのパスワードとしてそのまま使用されないようお願いします。

2 パスワードは複数のサービスで使いまわさない

インターネット上にIDとパスワードが流出する原因のひとつに、Webサイトが攻撃を受けて保管しているアカウント情報が盗まれるというものがあります。

攻撃者は流出してしまったアカウントのリストを使い、そのIDとパスワードでほかのサービスにログインを試みます。前述したように、IDとパスワードを使いまわししている場合、ログインができてしまうためアカウントが乗っ取られてしまいます。

必ずサービスごとに異なるパスワードを設定しましょう。

3 パスワード管理ツールを使って、便利にアカウントを管理する

アカウントの管理のポイントは、

・第三者に推測されにくい複雑なパスワードを使用すること
・サービスごとに異なるパスワードを設定すること

ですが、利用サービスが増えるほど「1.第三者に推測されにくいパスワードを設定する」で紹介したパスワード作成方法を使うにしても手間がかかり面倒になってしまいます。

そんな時にアカウントをより効率的に管理できるパスワード管理ツールの利用の検討をするのも手段のひとつです。利用するサービスとID、パスワードの組み合わせを一度登録すれば、サービス毎に設定した複雑なパスワードは覚える必要がなくなります。

NTT西日本のセキュリティ対策ツールをご利用なら「情報漏えい対策」を設定していただくと万が一に備えることができます。

情報漏えい対策設定方法画面はこちら ※上記機能はWindows OS およびAndroid OS でご利用いただけます。
※画像はすべてイメージです。
※2017年4月現在の情報です。

【標準装備の「セキュリティ対策ツール」によるセキュリティー機能について】

  • ・「フレッツ 光ネクスト」や「フレッツ 光ライト」における標準装備のセキュリティー機能はパソコン(Windows OS,macOS)またはAndroid端末1台(1OS)分です。「コラボ光(詳しくはこちら)」によっては、標準装備の「セキュリティ対策ツール」は含まれない場合があります。
  • ・「フレッツ・光プレミアム」や「フレッツ・v6アプリ」における標準装備のセキュリティー機能はパソコン(Windows OS)1台(1OS)分です。
  • ・ご利用のパソコンまたはAndroid端末環境(OS等)やソフト等との相性により本機能が正常に動作しない場合があります。詳しくはこちらをご覧ください。
  • ・定義ファイルやプログラムは、更新を行い、常に最新の状態にしていただく必要があります。
  • ・本機能はセキュリティーに対する全ての脅威への対応を保証するものではありません。

【「フレッツ 光ライト」の場合の留意事項】

  • ・「フレッツ 光ライト」での「セキュリティ対策ツール」および「セキュリティ機能ライセンス・プラス(オプション)」の利用量も通信料の対象です。
  • ・パターンファイルの更新等320MBを超える利用量が必要となる場合があります。
  • ・「セキュリティ対策ツール」の機能については、お客さまにて利用有無を設定することが可能です。

審査 17-199-1

記載の料金・解約金等は税抜です。消費税が加算されます。