危険ですよ！ログインIDとパスワードをすべて同じにしていませんか？　簡単な設定方法をお教えします

SNS、動画共有、写真共有、データ共有など、世界中の人々と簡単に交流や情報発信ができるWebサービスが日々増えています。これにともない、情報を効率的に入手したりビジネスの幅を広げたりするためのサポートツールとしたり、面白いネタや情報をより多くの人に発信するツールとするなど、活用機会も広がっています。

そんな各サービスに登録するログインIDとパスワードについて考えたことはありますか？

複数のアプリを使うため、「解読されにくいパスワードを設定したい」けれども、「サービスごとに別々のIDやパスワードを設定すると、間違ったり忘れてしまったりするので困る」などといった理由から同一のID、パスワードを使用している方も多いのではないでしょうか？

実はそこに危険が潜んでいます。ひとつ分かってしまえば後は芋づる式に別サービスにログインされてしまう恐れがあります。これはSNSだけに限った話ではなく、ECサイトやネットバンキングなどのログインIDやパスワードなども同様です。

私たちの日常生活に欠かせない便利なWebサービス。
管理しやすく、忘れにくいパスワード管理のコツと保管方法についてご提案します。

パスワード設定方法の現状

2015年12月24日に情報処理推進機構が発表した調査結果(※1)によると、インターネット上のサービスや電子メールのアカウントのパスワード設定方法について、約半数の人が文字列設定に工夫を凝らしている(※2)ものの、定期的にパスワードを変更している人は22.2%にすぎません。
また、「サービス毎に異なるパスワードを設定している」人は27.3%であり、実に１０人中７人が同じパスワードを使いまわしています。

これはパソコン利用者の現状です。スマートデバイス利用者に対する同様調査項目はありませんので、詳細は不明ですが、同程度と考えてよく、両者ともセキュリティ対策上、利用者のパスワード管理は安全な状態にあるとは言えません。

※1　2015年度情報セキュリティの倫理に対する意識調査
※2　「パスワードは誕生日など推測されやすいものを避けて設定している」（49.1%）
　　「パスワードはわかりにくい文字列（８文字以上、記号含む）を設定している」（46.5%）

パスワードリスト攻撃

パスワードリスト攻撃という言葉を耳にしたことがありますか？

この攻撃は大きく二段階に分かれています。悪意を持った人（攻撃者）は、まず、企業や団体のシステムに不正侵入して個人情報データを盗み出します。次に、この個人情報データ中のアカウント情報（ID・パスワード）を用いて（リスト化して）、他のコミュニケーションサイトやショッピングサイトへログインを試みる攻撃のことです。

攻撃者はこのリストを用いて様々なサービスサイトに対し、手当たりしだいにログインを試みますので、もし使い回しのID・パスワードでアカウント登録しているサイトが攻撃されたら、あなたが知らないうちに被害に遭うことになります。

手当たりしだいに攻撃されたサイトに、同一IPアドレスから短時間で複数IDによる大量ログインを検知するといった高度な機能が備わっていなければ、そのサイトでは通常のログインがなされたように見えます。
仮にあなたが気づき、そのサイトに不正ログインの報告を行ったとしても、まったく違う場所から攻撃者によって盗まれたものなので、運営管理者はID・パスワードを抜き取られるような不審なログ（記録）は把握できませんので、すぐには対処できません。

侵入されたが最後。そのサイトであなたにできることが全て攻撃者によって行われてしまいます。また、本人を装って友人や第三者に向けた個人攻撃をされたり、データを全て消去されたりしてしまうかもしれません。

メールアドレスをI Dに求めるサイトも少なくありませんので、パスワードの使い回しを行っていた場合、ID・パスワードが同じとなるサイトは幾つもあるのではないでしょうか。
これらサイトが次々に攻撃されれば、あなたの被害は一度だけでは済みません。

こういったことが、あなたの預かり知らぬ場所で行われるのです。

リスト型ハッキングの詳細をこちらにも掲載していますので、ぜひ併せてお読みください。

※　「リスト型アカウントハッキング」にご注意を！～社会人大学生通信（第２回）

すぐできる、ユニークなパスワードを簡単に作成する方法

IDが同じでもパスワードが異なれば、個人情報を不正取得されたサイト以外で被害に合うリスクはかなり低くなりますので、先ずはパスワードをユニークにすることを考えましょう。

覚えづらいまったく新しい文字列を作る必要はありません。

現在お使いの「使い回し文字列」に一工夫を加えるだけで、簡単にあなただけのユニークなID・パスワードを作ることができます。

ポイントは、「共通ワードにサービス名などを足してユニーク化」することです。

もし、あなたが「san-kaku」というパスワードを使いまわしていたとしたら、それを「共通ワード」として、前後に「サービス名」や「サイト名」などを足せば良いのです。
「face-san-kaku-book」、「twit-san-kaku-ter」といった具合です。

これに、「追加情報」として、あなたのお子さんやあなたが学生時代の出席番号を好きな桁数、例えば”0014”を加え、「face-san-kaku-book-0014」、「twit-san-kaku-ter-0014」とすれば更に強固なものになります。

「サービス名」や「サイト名」「追加情報」をどこで分解して、どこにどう付けるかといった、あなただけのルールを作って、あなただけが忘れずに把握していれば良いわけです。

あなた自身が攻撃の対象となり、設定方法の徹底的な解読をされたら別ですが、この方法でパスワードを作成すればパスワードリスト攻撃を受けても芋づる式に情報が抜かれる心配はまずありません。

一度作ったルールを自分のものにしてしまうことで、今まで億劫に感じていた定期的なパスワード変更にも容易に対応できるようになります。
先に説明したように、「サービス名」や「サイト名」の分解位置や付け方を変えていくだけも、かなりのバリエーションが稼げます。また、「マイブームの言葉」をたくさん持っている人でしたら、これを「共通ワード」にして定期的に変えていくのも良いでしょう。
「共通ワード」に日本語や地元の方言などを使うという方法もあります。
「追加情報」の数字や桁数を変えていったり、文字列中の一文字だけを大文字に変えたりしていくのも良いでしょう。

このように、自分だけのルールを作って楽しくパスワードのユニーク化を進め安全性を高めてください。

この他にも簡単にパスワードを作ったり管理したりする方法はいくつもありますので、折を見てご紹介していきたいと考えています。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。