今押さえておくべき、セキュリティマナーを学ぶ本連載。今さら聞きづらい、けれど知っておかなければならないアレコレを質問していきます。今回は、これだけは守りたい!パスワードの基本ルールについて。「複雑な英数字を組み合わせているから安全」というわけでは、ないようです。よくあるフィッシング詐欺についても、実際の画像付きでご紹介します。
今回の疑問
・安全なパスワードの作り方は?
・パスワードは定期的に変更しないとダメ?
・「アカウントが漏えいしている」といった通知が。信じていい?
・二段階認証ってどのようなもの?
Microsoft MVP(Windows and Devices for IT)を16年連続受賞。IT著書は80冊以上、ベストセラー&ランキングトップ書籍多数。『時短×脱ムダ 最強の仕事術 1日が27時間になる一生役立つ最強スキル』『Outlook 2021 やさしい教科書[Office 2021/Microsoft 365対応]』(SBクリエイティブ)『IT担当者のためのテレワーク時代のセキュリティ対策 安全な業務環境の構築からデータを守る方法まで』(翔泳社)など。IT機器の使いこなしやWindows OSの操作、カスタマイズ、ネットワークなどをわかりやすく個性的に解説した著書が多い。震災復興支援として自著書籍をPDFで公開。Windows関連Webサイトの運営のほか、講演・講義、著者育成など多彩に展開している。
Q. 安全なパスワードの作り方は?
パスワードは、単純な数字の並びや生年月日などの「類推しやすいものを避ける」のが基本です。悪意の中にはあらゆるパターンのパスワードを総当たりして強制的に不正ログインする「ブルートフォースアタック」が存在するため、英大文字・英小文字・数字・記号(サービスによって利用できる組み合わせは異なる)を混在させたパスワードにします。
なお、残念ながらパスワードの漏えいを自身で気をつけていても、サービス側が不正アクセスを受けて、アカウント情報を悪意あるものに不正取得されてしまうパターンも存在します。
この場合、「パスワードリスト攻撃(攻撃者が入手したユーザー名とパスワードを利用して、他のサービスのログインを試みる)」が行われる可能性が高いため、「他のサービスと同じパスワードにしないこと」も必須のセキュリティ対策になります。
PCやスマートフォンを管理するアカウントやクラウドサービスなどの重要なアカウントは、「二段階認証」を設定してパスワードのみのログインを防ぐことも重要です。
(1)複雑なパスワード文字列にする
規則性のない「英大文字+英小文字+数字+記号が混在した文字列でかつ11桁以上」の構成が望ましい(ブルートフォースアタック対策)
(2)パスワードの使い回しをしない
他のサービスで利用しているパスワードは利用しない(パスワードリスト攻撃対策)
(3)二段階認証を設定する
サービスが二段階認証をサポートしている場合には有効にする
Q. パスワードは定期的に変更しないとダメでしょうか?
セキュリティ対策として「定期的なパスワードの変更が必要」という見解がありますが、基本的にパスワードを定期に変更する必要はありません。
そもそも破られてもいないパスワードを変更する理由がないことと、むしろ定期的なパスワード変更は「パスワードを入力する場面を増やす」という意味で漏えいの機会を増やしているとも言えるからです。
ただし、サービス側が求めてくる場合や、パスワードが漏えいした可能性がある場合には、速やかにパスワードを変更する必要があります。
なお、メール・SMSなどで「パスワードが漏えいしたので速やかに変更を〜」「アカウントが不正利用されているので確認」などのメッセージは、ほぼすべて「偽警告」でありフィッシング詐欺なので、絶対に該当メッセージ内のリンクはクリックしないようにします(次節でも解説)。
Q. 「アカウントが漏えいしている」といった通知が。これは信じていい?
メールやSMSなどに届く「アカウントが漏えいしている〜」「不正アクセスを受けた疑いがある〜」「あなたのアカウントを凍結〜」などのメッセージは、ほぼすべて「偽警告」でありフィッシング詐欺です。
また、「身に覚えのない商品購入」「契約していないサービスの確認」などのメッセージもフィッシング詐欺です。これらのメッセージ内のリンクは絶対にクリックしないようにします。またメッセージの返信や電話連絡なども相手に実在を証明することになるため絶対にNGです。
該当サービスの安全性が気になる場合には、自らがWebブラウザーを起動したうえで、サービスサイトにログインして確認するのが基本です。
なお、偽装Webサイト(本物のようなWebサイト)でユーザー名・パスワード・カード情報などを入力してしまうと、「悪意あるものに情報を渡す」ことになり、Webサービスを不正利用される可能性が高まるほか、ダークウェブ(一般的な方法ではアクセスできない違法な取引を行うサイト)で情報が転売されてしまうなど雪だるま式の被害を受けることもあります。
「メール内のリンクはクリックしない」「誘導されてサービスサイトにログインすることを避ける」など、信頼のない場所から誘導された先でのアカウント情報入力は行わないことを遵守することが重要です。
▼フィッシングメールの実例
一見本物に見えるが、ロゴや社名はいくらでも偽装できる。アカウント停止・凍結・漏えい・第三者から不正アクセスを受けているなどのメッセージは基本的に信用せず、絶対に「リンクをクリックしない」「返信しない」ことを心がける。
▼「身に覚えのない商品の購入」によるフィッシング
身に覚えのない商品購入・注文確認・配送などのメールにはびっくりしてしまうが、これもフィッシング詐欺だ。焦って「キャンセルのリクエスト」をクリックしてしまうと、逆にアカウント情報を相手に渡すことになる。気になるのであれば、リンクはクリックせず自らWebブラウザーでサービスサイトにアクセスして確認する。
▼Webブラウズ中のフィッシング詐欺
Webブラウズ中のフィッシング詐欺にも注意だ。不意に表示される「〜に当選しました」「〜のクレジットカード情報がパソコンから漏えいしている」など、アカウントや個人情報を入力させるものもフィッシング詐欺である。
Q.二段階認証ってどのようなものですか?
他者によるサービスの不正利用を防げるのが、二段階認証です。
二段階認証を設定しておけば、第三者が不正入手したユーザー名とパスワードを利用したとしても「もうひとつ認証(SMS/メール/スマートフォンアプリ/ハードウェアトークンなどでの確認や操作)」が必要であるため、アカウントを保護することができます。
なお、二段階認証はサービスにて任意の追加設定が必要になるほか、認証手段のバリエーションはサービスによって異なります。
二段階認証の対象となるデバイスのセキュリティを高めることも重要です。例えばスマートフォンを用いた二段階認証(SMS/スマートフォンアプリ)を行う場合、スマートフォンを不正利用されないように生体認証設定を行い、他者がSMSやスマートフォンアプリを操作できないようにしておくことが重要になります。
▼二段階認証の設定と認証手段
二段階認証の認証手段はサービスによって異なり、「SMS」「メール」「スマートフォンアプリ」「ハードウェアトークン」などが存在する。基本的にパソコン以外のデバイスを用いる認証手段がセキュアだ。
▼スマートフォンのセキュリティ(左:Android、右:iPhone)
二段階認証の認証手段としてスマートフォンを用いる場合、スマートフォンのセキュリティも大切になる。スマートフォンの不正利用対策(「指紋認証」「顔認証(Face ID)」などの生体認証)は必須だ。
コラム:重要なサービスに用いるメールアドレスの工夫
連絡に用いるメールアドレスにおいては「ビジネスメール」と「プライベートメール」を分けるのが基本です。また、「重要なサービス(クラウドやビジネスチャット)」のメールアドレスも分けて固有のものにするとさらにセキュリティを高めることができます。
連絡手段や他サービスのメールアドレスを一緒にしてしまうと、メールアドレスもアカウント情報の一つであるため漏えいする機会を増やしてしまうほか、フィッシングメールなどが届いた際に本物か否かに迷うことになります。
一方、重要なサービスに用いるメールアドレスを固有のものにしておけば、メールアドレスの漏えいが減るほか、該当するメールアドレス以外に届いた重要なサービスに対する「不正アクセス」などのメールは、フィッシング詐欺であることを容易に判断できるため、騙されないで済むのです。
・・・
複雑なパスワードを設定していれば安全、というわけではなく、あらゆる場面に潜むリスクを想定して、それぞれに合わせた対策が必要ですね。次回は最終回「暗号化」について。お楽しみに。
▼これまでの「今さら聞けないセキュリティマナー」
・OSのセキュリティはどう確保する?
・アンチウイルスとセキュリティ全般を確認するには?
・日常の情報漏えい&マルウェア対策を徹底するには?
・自宅/公衆無線LANの注意点は?
