fbpx

「パスワードの使い回しがいかに危険なのか?」リスクと対策を知る

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪のリスクです。きっぱりやめましょう。
/ins>

軽い気持ちでやっている「パスワードの使い回し」には致命的なリスクが隠れている

パスワードが流出したらどんな危険がある?

毎日のように発生しているパスワードの流出事件。

「オンラインサービスを登録したまま」だったり、「使わないで放置したIDとパスワード」などのアカウント情報はいつの間にか流出してしまっています。

パスワードが流出したらどうなってしまうのでしょう?

  1. 流出したあなたのパスワードはリスト化されて、闇市場(ダークウェブ)で売買され流通している
  2. パスワードリストを手に入れたハッカーは、さまざまな攻撃方法でリストを元にあなたのアカウントに侵入を試みる。
  3. リストのパスワードが一致したらあなたのアカウントに不正侵入される。効果的な対抗策はない。

となります。

流出したパスワードと同じパスワードを使っていたら、不正侵入されるのは当たり前です

毎日起きている「不正ログイン」とか「不正引き落とし」の原因のほとんどはここにあります。

 

「IDやパスワードは流出してしまうもの」が正しい認識

ここではっきりと断言しますが、アカウントの流出を止めることは、現状不可能です。

攻撃と防御側のいたちごっこはもちろんですが、それ以上にシステムを作るのも、機密を守るのも人間です。

人のやることですから、うっかりミスや、ルールを守らないずさんな作業が起こりがちです。
大事なデータが入ったPCやメモリーを紛失したり、置き忘れることも多発しています。

ブログ内の関連記事(新しいウィンドウで開きます)

通販サイトを狙ったセキュリティ犯罪が続いています。2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ

毎日発生しているセキュリティ事故

下記はセキュリティ事件の発生を毎日知らせてくれるセキュリティ情報サイトのトップページです。

公表されているだけでも、個人情報漏えい事件や事故は「ほぼ毎日」発生していることがお分かりになるでしょう。

ちなみに私のいつも使っているメールアドレスを当サイトでご紹介した「メールアドレスの漏えいチェックサイト(当サイト内リンク)」で調べたところ、しっかり漏えい事件の対象になっていました。

流出先はPDFや画像処理ソフトで有名な、ADOBEです。超大手IT企業からも流出が起きてしまうのですから、流出は止めようありません!

 

パスワードの使い回しは「パスワードリスト攻撃のえじきに」

IDはそもそもばれてしまうもの

これまでお話しした内容から、パスワードを使い回していたらどうなるか?お気づきでしょう。

第1の関門として「ID」の存在がありますが、オンラインサービスのIDは、そもそもメールアドレスが使われることが多く、類推は簡単です。

またパスワードと違い、「外からIDがわかってしまうサービス」も多いですし、そもそもパスワードとセットで流出したら隠しようがありません。

パスワードのリスト攻撃~ブログラムを使い、大量のパスワードで次々にログインを繰り返す

攻撃者は手に入れたIDと「複数サイトで使われているパスワードのリスト」リストから総当たりでログインを試みます。これを「パスワードリスト攻撃」と呼びます。入力作業はもちろん手でやるのではなく、ブログラムを使って行います。

今ではBOTと呼ばれる「処理を指定すると自動的に繰り返して行うブログラムを使うこと」が普通です。BOTとはそれほど難しいものではなく、少々のコンピュータースキルがあれば誰でもできてしまいます

BOTにとってはリストが何万件あっても平気で、IDとパスワードの組み合わせを、一秒間に数百~数万回という頻度で、数万~数億回という回数で総当たりで試して「当たりのIDとパスワード」を見つけてしまうのです。

運悪くあなたがたまたま使いまわししたID、パスワードが当たってしまえば、やすやすと侵入を許すことになってしまいます。

一説では、「単語の羅列のリスト」を元にした攻撃に比べ、「流出したパスワードのリスト」攻撃は100倍以上成功率が高いと言われています。

 

「盗まれたパスワードのリスト」は更新され精度が高まっていく

個人情報の流出が起きると、悪意のハッカーたちはリストを作って攻撃を試みます。

さらにあるサイトで成功したパスワードを集めて「より成功率の高いリスト」が作られて、闇市場でアップデートされながら売られ続けていくのです!

この繰り返しが、毎日のように発生する不正ログイン事件の原因です。

日本の一流企業でも、流出したパスワードを悪用された不正ログイン事件を引き起こしています。

ブログ内の関連記事(新しいウィンドウで開きます)

令和を迎えて大手家電量販店「ヤマダとコジマ」の大きなセキュリティ事故が報道されました。さらに7月にはセブンペイでも大きな不正ログイン事件が発生しました。その後も家電量販店、大手デパートの三越伊勢丹と事件は続きます。身近なサービスで発生す[…]

セキュリティー事故の謝罪会見イメージ

また以下のWikipediaの記事「総当たり攻撃」に書かれているように、ハッカー達はパスワードリストの更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

~中略~

一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

■引用:Wikipedia「総当たり攻撃」より

 

パスワードリスト攻撃の現状

毎日のように多くの被害が発生

パスワードリスト攻撃はポピュラーな攻撃で、大手企業でも多数の被害例が出ています。

下記のリストを見ると、「あまりの事件の多さ」「大手と言われる企業が多数被害を受けている」ことにも衝撃を受けます。

これはしっかりした企業や組織から報告や報道されたものであり、無名の企業や個人によるパスワード流出を含めた実際の件数ははるかに多いものと思われます。

身近な人によるパスワード盗用も多い

パスワードリスト攻撃は企業を狙ったものだけでありません。

「あなたのことを知る人物が、たまたまパスワードを手に入れ、あなたのアカウントに侵入を試みる」ことはしばしばあります。

パスワードを複数のサービスに使っては防ぎようがありません。

しばしば「芸能人、有名人のSNSカウントの乗っ取り事件」が報道されます。多くは「誕生日など推測可能なパスワードをつけていた」ため推測で使われてしまったことが原因ですが、流出したパスワードを使ってリスト攻撃で破られたこともあります。

多くのアカウントの不正利用は、残念な事ですが、家族や友人、恋人、身近な人によって引き起こされていることは忘れてはなりません。

このような攻撃方法を「ソーシャルエンジニアリング」といいます。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

私も「パスワードを使い回したおかげ」で危ない目にあってしまった

ずいぶん気をつけてアカウントを管理していた私も、2018年秋に「ドコモのdアカウント」を攻撃され、怖い思いをしました。

たまたま事前に二段階認証(二要素認証)を設定していたため被害は免れましたが、危ないところでした。

ぜひ以下の体験談もご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか?2018年の秋。愚かにもdアカウントのパスワードを使い回していた私は、不正アクセスされたあげ[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

まとめ:
パスワードの使い回しはやめて正しくパスワードを使うしかない

「1つのアカウントには固有のパスワードを使う」ことは絶対守るべき原則です。
しかも「すべてのアカウントにもれなく」設定することが必要です。

それをしないと、結局日常のデジタル使用時に大きなトラブルを受ける多能性もありますし、万一の際に大切な方にデジタル遺産やデジタル遺品を残したときに、大きな迷惑と悲しみをかけてしまうことにもつながります。

「そんなこと不可能だろう!」  

「でも、自分の身を守るにはするしかないのです」  

「じゃあどうしたらいいんだよ?」

当サイトで「順を追って」ご説明しますが、大切なポイントは

  1. 使い回しをやめる
  2. 強いパスワードをの作り方を知る
    ブログ内の関連記事(新しいウィンドウで開きます)

    いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]

  3. パスワード管理ツール(パスワードマネージャー)を使用する
    ブログ内の関連記事(新しいウィンドウで開きます)

    強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワード管理ツール(パスワードマネージャー)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ことが最善の対策です。

日々攻撃が増加している今こそ、安全なパスワード作りに取り組みましょう!