セキュリティーのプロがパスワードに関して実践している3つのこと
今年2月、「世界の個人情報27億件が闇サイトに流出、日本関連が2000万件」という記事が新聞を賑わせた。日本のセキュリティーシステム会社の調査によって、日本人のネット利用者であろうと思われる「.jp」がつくアドレスが2000万件見つかったのだ。
毎年のように個人情報流出の事件がメディアを騒がせ、自分の利用しているWEBサイト名を耳にして不安になることも多いが、実際は表面化していないもののほうが大半だという。もはやインターネットを利用する限り、“情報が流出する”ことを前提として、個人でできる防衛策を考えなければならない時代なのだ。
ならば、“敵”を知るセキュリティーのプロが「個人で実践している」対策とはどういったものなのか? 先の事件を調査、報告したソリトンシステムズの長谷部泰幸取締役執行役員に、個人情報流出の現状、そして、今日からでもできる対策を伺った。
漏洩した個人情報が、“一般サイト”上に転がっている?!
「個人情報漏洩というと、“闇サイト”の中の出来事というイメージが強いと思いますが、実際に私どもがこういったデータファイルを見つけるのは、主に“グーグル”で普通に検索できる、一般のサイト上なんです。
世界の個人情報27億件が闇サイトに流出した(前出の)『Collection#1』事件のときは、巨大なデータが8時間という短時間だけ誰でも閲覧できる共有ファイルに置かれていたのを、たまたま見つけて中身を解析した結果、27億件のうち日本人と推測されるパスワードを含むアカウント情報が2000万件、日本の被害サイト42件が見つかりました。これはおそらく、闇サイトで売ろうとした者が、買い取り業者への宣伝のため一時的に、一般の共有ファイルサイト上に置いていたのだろうと言われています」
個人情報はこのようにして “闇サイト”で売られる。また、悪質なハッカーの間で物々交換され、無限にコピーされ拡散してゆく。
パスワード・ランキング1位が「123456」という衝撃!
毎年、米国のセキュリティー会社2社が、世界のハッキング事件によって漏洩したアカウント情報からパスワードを分析したパスワード・ランキングを発表している。両社とも1位はなんと、「123456」。多少順位の入れ替わりはあるものの、ランキング上位に出てくる「よく使われるパスワード」は、いつになっても変わらないという。これほど、パスワードというものへの意識は低いものなのか?
「日本のパスワードについて、漏洩した『.jp』属性のアカウント情報を分析してランキングを出してみたところ、全体的な傾向は米国2社と非常に似ていました。1位はやはり『123456』。また、数字の並びの次に多いのが、キーボードの配列をそのままパスワードにしているケースです。これが世の中の現実です。数字の並びのような単純なパスワードの場合、捨てパスワードとして使っているのかもしれませんが、このようなランキングが毎年公開されていますし、やはり危険ですね」
パスワードが暗号化されず、平文のまま管理されている場合もある!
「パスワードを管理する側は、パスワードを暗号化して管理するのが常識的なやり方です。暗号化していれば、万が一漏洩しても記号の羅列になっているだけなので、元のパスワードは直接にはわからない。しかし中には、パスワードを暗号化せず、平文のまま管理しているところもあり、パスワードがそのまま流出してしまったり、時にはパスワード解読のヒントが一緒に出てしまうときもあります。利用する側からは、自分のパスワードが暗号化されて保管されているかどうかなんて知る由もないですしね」
『collection#1』事件で見つかった情報の漏洩元は、中小企業のものが多かったという。大手企業の場合は、自社サイトを作ったときに、内部・外部を想定した疑似攻撃のテストをする。そういったテストには数百万円規模の費用がかかる。しかし、小規模なサイトでは、そのようなテストに費用はかけていないのが実情だ。
「どこかが侵入されたとか、情報が盗まれたという事件は、世界的規模で見ると月に30件ぐらい起きていますので、だいたい毎日起きていることになります。みなさんインターネットで買い物をしたり、SNSもやりますよね。そのサイトが外からデータを抜かれたら防ぎようがありません。ですから、2次被害のリスクを避けるために、パスワードの使い回しをしないことが重要なんです。
アドレスも使い分けたほうがいいですね。リスクがあると思われるサイトに登録するときは、使い捨てにしていいようなアドレスと、それ専用の捨てパスワードにする。私自身も、いくつかのアドレスを使い分けています」
セキュリティーのプロも実践。“パスワード”ではなく“パスフレーズ”に!
「少し前の常識だった、パスワードを2〜3ヵ月に一度など頻繁に変えることにあまり効果がないことは、総務省からも発表されています。
それよりも、解きにくいパスワードを設定し、しっかり管理し、複数のネットサービスで使い回さないことが重要です。頻繁に変えるというよりも、おかしな状況があったらすぐに変えること。また、今のパスワードが他人に予想できるような安易なものだったりするならば、すぐにも変えたほうがいいですね。防衛することはできませんが、被害のリスクを下げる事はできるということです。
私個人の対策として、パスワードに関して実践していることが3つあります。
1 組合せ(多要素認証)
2 8種類のパスワード
3 パスフレーズ
1に関しては、パスワードのほかにカード認証や顔、指紋といった生体認証などの設定ができる場合は、必ず併用します。私自身は、これからの時代、認証はパスワードだけではなくて、複数を組み合わせるというのが当たり前だと思っています。
2は、私個人は8つのパスワードを持っていて、その8つは全部覚えています。それをあるルールに沿って、こういうサイトのときはコレを使おうと決めているので、新しいサイトに行っても、どのパスワードを使うかというのが自然に決まってきます。
3は、パスワードを、“パスフレーズ”にするというものです。12桁ぐらいまでの文字の組み合わせは10分ぐらいのトライで解けてしまうロジックがあるため、アメリカのハッカー(ホワイトハッカー)達の間では、「ワードではなく“フレーズ”にして23桁以上にすればいい」と言われています。これはアメリカの政府職員の間でも実践されているものです。
私たち日本人の場合は、普段思っていることをローマ字にすればいいわけです。
『オムライスが1番好きだ!』とすれば、
Omuraisuga1banSukida!(21文字、大小文字、数字、記号混在)
というように、いくらでも作れます。
そのうえでプラスしたいのが、サイトごとの“パスワードの使い分けルール”。たとえば、Googleならgoogなど頭の4文字をパスワードの前につければ、使い回しが避けられますし、忘れることもありません。
パスワードがそのまま流出してしまえば仕方ないのですが、ここまで長いと、今のパスワードクラックのロジック(※)では解けないと言われています。パスフレーズにするだけなので、お金も一切かかりません」
インターネットを使う限り、情報漏洩の完璧な防衛策はないということを肝に銘じておこう。大切なのは、 “甘く見ないこと”、“知恵を使うこと”。すでに流出してしまっているかもしれない個人情報が悪用される前に、今すぐできる“パスフレーズ” に変えることから始めてみたい。
※コンピュータ・システムで保存あるいは伝達されるデータからパスワードを割り出す手法をいう。
長谷部泰幸 株式会社ソリトンシステムズ取締役執行役員、一般財団法人日本サイバー犯罪対策センター(JC3)幹事。日本IBM、日本オラクル勤務を経て、ネットセキュリティ専門サービスの上場企業や、不正調査専門サービスの上場企業で取締役を歴任。NISC(現在の内閣サイバーセキュリティセンター)に設置された政府機関のログ管理検討会メンバーも務めた。現在は、サイバーセキュリティに関連するアナリティクス技術や人工知能の適用ソリューションの開発と、それを利用した専門調査サービスの事業責任者を務める。
取材・文:藤岡佳世写真:アフロ
