fbpx

超危険な「簡単なパスワード」。もはやデジタル使う資格なし!  

うっかり「簡単なパスワード」「使い回したパスワード」を使うことが、いかに危険なことなのか!そのリスクはデジタル終活どころではありません。大切なデジタル遺品やデジタル遺産もいつ盗まれてしまうか分かりません。
具体的な実例と共に、わかりやすく解説します。

「2018年世界上位100」の最悪のパスワードから見た「あまりに大きなリスク」とは

2018年には「ドナルド」が危険なパスワードリスト入り!?

さすがに今時、大切なサービスのパスワードに「123456」とか「password」といった、誰でも思いつく単語を使う人はいないと思います。

しかし、アメリカのセキュリティー会社SplashDataが毎年発表している「最悪パスワード上位100の2018年版」を見たところ、あいかわらず「123456」が今年も不動の一位です。
また23位にとうとう「donald=ドナルド(トランプ大統領のファーストネーム)」が新登場してしまったのが、いかにも昨年らしいですね。

「最悪パスワード100の2018年版」より
順位 パスワード 順位 パスワード 順位 パスワード
1位 123456 (前年と同じ) 11位 11 princess (新登場) 21位 21 charlie (新登場)
2位 password (前年と同じ) 12位 12 admin (1つランクダウン) 22位 22 aa123456 (新登場)
3位 123456789 (3つランクアップ) 13位 13 welcome (1つランクダウン) 23位 donald (新登場!!)
4位 12345678 (1つランクダウン) 14位 14 666666 (新登場) 24位 password1 (新登場)
5位 12345 (前年と同じ) 15位 15 abc123 (前年と同じ) 25位 qwerty123 (新登場)
6位 111111 (新登場) 16位 football (7つランクダウン)
7位 1234567 (1つランクアップ) 17位 123123 (前年と同じ)
8位 sunshine (新登場) 18位 monkey (5つランクダウン)
9位 qwerty (5つランクダウン) 19位 654321 (新登場)
10位 iloveyou (前年と同じ) 20位 !@#$%^&* (新登場)

[原典] https://www.teamsid.com/common-password-problems-faced-small-organizations/

しかしこのリストを見ると、あまりに簡単なものは論外としても、「qwerty 」のように一見複雑そうでも「キーボードで並んでいるキーを順番に打っただけ」といった、簡単にバレてしまうようなパスワードが相変わらず使われていて驚きます。

 

流通している「パスワード単語リスト」の現状

怖いのはこのようなパスワードは闇市場に流れている「パスワード候補の単語リスト」に掲載されてしまっていること。
上記のような誰でも推察できるパスワードもちろん「日常生活で良くつかわれる単語」「有名人の名前」「一般的な人名や地名」「流行語」「有名なポップミュージックの曲名」など、およそ思いつくであろうすべての単語を網羅した膨大なパスワードが、きれいにリスト化され出回っているのです。

上記の会社によると、なんと「パスワード候補リストには500万件もの単語が乗って」いて「それをパスワードとして今も数百万人の人が使っている」と言う現実です。

また別の記事では、悪意のハッカー達が情報をやりとりする秘密のネットワーク「ダークウェブ」上にはもっと恐ろしいリストが存在していることも分かっています。保存されていたアカウントは14億個!
しかしきちんと整理されて、高速に検索すめためにデータベース化されていたそうです。

研究チームが2017年12月5日に発見した。ディープWebやダークWeb(いずれも通常のブラウザで参照できない情報)をスキャンして、流出や紛失、盗難に遭ったデータを探していた。
41GBのリポジトリには、14億個の盗まれた認証情報が平文(暗号化されていない誰でも読める形)で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS(ソーシャル・ネットワーキング・サービス)であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。

これは単なるリストではない。総合的な双方向データベースであり、高速検索(反応時間1秒)や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。例えば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」

■引用

 

何千回、何万回でもパスワードを入れ替えて執拗に攻撃する「総当たり攻撃」とは?

悪意の侵入者は、照合プログラムを使って使えそうなIDとパスワードを片っ端から試してしまいます。
このような「総当たり攻撃」手法を「ブルートフォース(brute force)アタック」といい、何千何万件の単語リストでもあっという間に照合されます。

銀行キャッシュカードの暗証番号は通常4桁です。
人による操作で4桁をしらみつぶしに入力し暗証番号を見つけることは手間がかかりますが、コンピューターを使えば(コンピューターで入力でき、入力ミスが多数出ても取引が止められないならば)、簡単に暗証番号を見つけることができます。

システムへの侵入するためのパスワードは、通常4桁ではなくもっと長いパスワードを利用していますが、時間的制約がない限りは時間をかければ確実に解読することが可能です。
例えば、6文字のパスワードを破るまでに約14−15秒程度しか掛かりません。

対策を打っても打っても、新しい攻撃との「いたちごっこ」が続いている

もちろん一般のオンラインサービスでは「総当たり攻撃」を防ぐために、「パスワードを繰り返し入れて試行錯誤することができない」処理を追加しています。
そのため「うっかりパスワードを何度か間違えてロックされてしまった」経験はどなたもお持ちでしょう。

ところが悪意のハッカーも続々新しい攻撃方法を考えて対抗しています。

例えば下記の攻撃方法は、少しやり方を変えた新たな攻撃方法です。
「ひとつのIDに、次から次へと違うパスワードを当てていく」今までのやり方ではなく、「パスワードとIDの一組を組み合わせたセット」を次々と入力していき、システムの防御策をだまして総当たりを実現させようとするものです。

これはほんの一例ですが、次々に新たな攻撃方法が現れて、「対策と攻撃のいたちごっこ」状態になっているのが率直な現実です。

更にコンピューターの処理能力の向上が著しいため、パスワードを総当たりの所要時間もでんでん短くなり、一昔前は「1日がかり」だった処理が「数分」単位で終わる事態にもなりつつあります。

さらにコンピューターの処理速度の向上は、今後さらに発展しますので、しっかりしたパスワードを設定しておかないと、将来「デジタル遺産やデジタル遺品」として継承したアカウントも盗まれてしまうリスクもあるのです。

 

あなたのパスワードを推測して使おうとするのは、家族や友人など実は身近な人かも、、、、

またこれらの技術は、特にコンピューターに詳しくなくても、ネット上に流れている情報を集めるだけで、誰にでもできることです。

悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」が軽い気持ちで試してしまうかもしれません。

事実、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。デジタル遺品やデジタル遺産として残したアカウントが、推測や盗用で意図しない人に使われてしまったらどうなるでしょう?

 

まとめ:
簡単なパスワードを使うのは論外!本当に危険な行為なのです

以上のことから、類推されそうな簡単なパスワードを使うことは、「簡単に破られてとんでもないリスクがある行為」とご理解いただけると思います。

デジタル終活に取り組むことを契機に、デジタル資産(デジタル遺品やデジタル遺産)のアカウントのパスワードを総チェックしましょう。

それこそがあなたがこれからデジタルを安心して使うことにつながり、「平穏な生活を守る鍵」となります。そして「デジタル遺産やデジタル遺品を守る鍵」ともなるのです。

 

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

※Digital Keeperは、多要素分散保管の考え方に基づき、アカウントやデジタル資産の本体はお客様側に保存いただき、管理情報(保管場所や鍵となるパスワードなどの情報)だけをお預かりするサービスですので、機密情報も安全に預けることができます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

 

関連記事

「デジタル終活とはいったいなんだろう?」 普通の「終活」との違いから、目的と意義、また「もしもスマホ万能時代の今、デジタル終活をしていなかったら、デジタル遺産やデジタル遺品でどれだけ困って、悲しい事になるか?」など、「デジタルの安全な使用[…]

デジタルを守るイメージ

 

プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG