本記事では、強固なセキュリティを実現するVPNサービス「NordVPN」の公式ブログスタッフが、GAPSISの読者の皆様に、安全で強力なパスワードの作り方とポイントを分かりやすく解説します。
デジタル化の推進により、一人当たり平均10以上ものパスワードを保有していると言われる現代。今回ご紹介するのは多くのユーザーで試して成功した方法なので安心して利用いただくことができます。今使っているパスワードに少しでも不安のある方は、ぜひすぐに試してみてください。
なぜ強力なパスワードが必要なのか?
改めて、なぜ強力なパスワードが必要なのかを考えてみましょう。
ネットバンキングやネットショッピングでのクレジットカード決済、SNSなど私たちの生活は強固に守るべき個人情報で溢れています。
しかしながら、これらの情報を守るためのパスワードが脆弱であると、アカウントを保護するには不十分。パスワードが破られた場合には個人情報漏洩や、ネットバンキングなら不正送金など深刻な被害に繋がる恐れがあります。
サイバー犯罪は速いスピードで増大しており、新種の手口が絶え間なく生まれています。インターネット利用者なら誰しもがハッカーによる不正アクセスやハッキング被害に遭う可能性があるのです。
ここからは、パスワードを解読されてしまう具体的な攻撃手段についてご説明します。
ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは、暗号解読や認証情報を不正に盗み取る手法です。具体的には、考え得るあらゆる暗号パターンを全て試すという、その名の通り総当たりをするという単純なもの。この手法は昔から利用されており、時間はかかるものの必ず正解に辿り着くため、今なおハッカーに利用されています。
例えば、4桁の数字のパスワードにおいて「0000」から「9999」までの1万種類をプログラムを使って全て試すのに1つ1秒かかるとしても、約3時間で割り出せる計算です。
辞書攻撃
辞書攻撃も認証情報取得によく使われる手口で、「ディクショナリアタック」とも呼ばれます。パスワードを忘れないために一般的な名前や単語を利用する人が多いため、「辞書攻撃用」のリストを使ってログインを試行するという手法です。辞書攻撃は限られた文字列を使用するため、ブルートフォース攻撃と比較すると短時間で解読することができます。
ソーシャルエンジニアリング攻撃
最もアナログな手法であるソーシャルエンジニアリング攻撃。ソーシャルエンジニアリング攻撃とは、ブルートフォース攻撃や辞書攻撃のような技術的攻撃ではなく、心理的な操作を用いて人を騙すなどしてパスワード情報を盗み取る手法です。例えば、電話で誰かになりすまし、パスワードを忘れたふりをして聞き出すなど、その手口は大胆かつ巧妙です。
パスワードを作るときに気をつけるべきポイント
あなたは見破られやすいパスワードを使っていませんか?
以下はNord Securityが発表した2021年、日本で最も使われたパスワードのランキングです(出典:NordPass)。
 |
| 2021年に日本で最も使われたパスワードのランキング(出典:NordPass) |
日本の上位には「password」「123456」が並び、キーボードを上から下に打った「1qaz2wsx」や、左から右に打った「asdfghjk」もランクイン。世界50ヶ国の首位は「123456」で1億317万552回も利用されていることが分かりました。
このような誰にでも見破られてしまうようなパスワードは絶対に避け、作成する際には次に挙げるポイントに気をつけてください。
短いパスワードを避け、桁数を増やす
パスワードはできるだけ長い方が望ましく、短くても10桁以上を組み合わせたものが理想的。文字数が長ければ長いほど、ハッカーにとっての解読難易度が向上します。かつて10年前には8桁が推奨されていましたが、現在では通用せず、各種セキュリティ団体でのルールは近年で大幅に改訂されています。
異なる種類の文字を組み合わせる
政府の内閣サイバーセキュリティセンター(NISC)では、「英大文字小文字+数字+記号で 10桁以上」が推奨されています。桁数が多くても、単純にアルファベットの羅列だけのパスワードと、アルファベットや数字、記号が混在したパスワードでは安全性に雲泥の差があります。前述した総当たり攻撃を防ぐには、突破までに膨大な時間がかかるようにするのが一番の防御手段と言えます。パスワードを使いまわさない
複雑なパスワードを作っても、サービス間で同じパスワードを使いまわすのは絶対にやめましょう。1ヶ所から漏れれば、ドミノ式に漏洩してしまいます。文字列のおしりだけ異なるような似たパスワードも厳禁で、1ヶ所漏れれば推測可能となってしまいます。 各サービスで個別のパスワードの設定が原則です。個人情報を避ける
パスワードに個人名や子供の名前、ペットの名前を使うのも安全性が低いと言えます。自分の生年月日や電話番号といった自分に関連のある番号にしないことも重要です。既存の単語や固有名詞を避ける
辞書攻撃に遭わないために、既存の単語や固有名詞も避けなければなりません。最も使われたパスワードランキングで首位になっていた「password」のように、人が思いつきやすい単語はハッカーも同様に思いつきやすいもの。ランダムで推測されにくい文字列が安全です。安全なパスワードの作り方 覚えやすいアイデアも
前述したような強固なパスワードをすでに設定しているという人は実際にはなかなかおらず、ほとんどの人が脆弱なパスワードを利用していたり、使いまわしていたりするのが現状です。
安全なパスワードが思いつかない……という人でも、次にご紹介する4つの方法を使えば、安心して使える強力なパスワードを設定することができます。
パスワード生成ツールを活用する
高度で安全なパスワードが思いつかない、という人にはパスワード生成ツールがおすすめです。無料のパスワード生成ツールもあり、ブラウザで桁数などの条件を設定すると複雑で安全なパスワードを自動生成してくれます。メール用やSNS用など、各アカウント毎に新たにパスワードを作成していきましょう。例えば、多くの人が利用するGoogleでも、Googleアカウントを利用したパスワード自動生成ツールが提供されています。パスワード桁数は15桁で、セキュリティ上理想とされている十分な長さのパスワードが提案されます。
パスフレーズを活用する
パスフレーズとは、パスワードの一種で、複数の関連のない単語をランダムに組み合わせた長い文字列を使うことを指します。 パスフレーズ自動生成ツールで作ったパスフレーズの具体例をご紹介します。- Donkey Front Fright Safe 1(20文字)
- Bold Wet Sow Interruption 4(23文字)
- Think Confidence Address One 5(26文字)
パスフレーズはパスワードに比べて覚えやすい上に、長い文字列で機械的な攻撃にも強く、強度が増します。但し、「Thankyouverymuch」や「Pleaseletmeknow」など、一般的で推測のされやすいようなフレーズは避けましょう。
ダイスウェアを活用する
ダイスウェアとは、サイコロをふって「ダイスウェア単語一覧」という7,776単語が掲載されたリストから単語をランダムに選択しパスフレーズを作成する方法です。各単語には以下のように5つの数字が割り当てられています。- 16655 kakun (家訓)
- 16656 kagu (家具)
- 16661 kagura (神楽)
サイコロを5回転がして、出た5桁の数字を単語一覧から確認します。これを繰り返し、複数の単語からなるパスフレーズを完成させます。生成するパスフレーズは、6単語程度の長いものが望ましいでしょう。
ニーモニックを活用する
ニーモニックも覚えやすいパスワード作成に有効です。ニーモニックとは、覚えやすい文章を作成して、単語の頭文字を拾うなどしてパスワードにするというシンプルな方法です。例を見てみましょう。
| パスフレーズ | パスワード |
| You have to see me at five | Uh2cm@5 |
| I love to ski at Seven Springs! | Ilts7S! |
| Give to others what you want others to do to you | G2owUwyw2d2U |
フレーズを作るには、日本語をローマ字表記したものでも良いでしょう。
安全なパスワード管理方法とは?
あなたは数多くのパスワードをどのように管理していますか? せっかく強力なパスワードを作っても、悪意ある第三者に盗み取られることのないように厳重な管理が必要です。
安全に、そして自分で忘れることのないような管理方法とは何か? 見ていきましょう。
パスワードマネージャーを活用する
パスワードは数が多くなるほど覚えにくく、アカウント毎に複雑なパスワードを記憶するのは面倒に感じてしまいますよね。これを解決するには優れたパスワードマネージャーが有効です。パスワードマネージャーとは、オンライン上で複数のパスワードを一元管理できるツールです。パスワードマネージャー上の「マスターパスワード」を設定するだけで、その他のアカウントにログインする際もそのマスターパスワードを入力すれば、アカウントのログイン情報が表示されるという優れもの。
アカウント毎にユーザー名やメールアドレスも登録できるため、よく忘れがちな、どのアカウントでどのメールアドレスを登録したかを思い出す必要もありません。パスワードマネージャーは複雑なパスワードをその都度入力したり、コピペしたりする手間を省き、負担を軽減してくれます。
例えば、NordVPNでもパスワードマネージャーサービスをご提供しています。「NordPass」は無料で利用可能なパスワード管理ツールで、堅牢なセキュリティも特徴となっています。
→NordPass公式サイトはこちら
多要素認証を活用する
セキュリティ対策として注目されている、多要素認証。多要素認証とは、アカウントにログインする際に2つ以上の複数認証要件を要求して本人認証を行うことで、「MFA(Multi-Factor Authentication)」とも呼ばれています。多要素認証としてよく採用されているのが2つ目の認証を携帯電話などのデバイスへSMSでコードを送る、ワンタイムコードと呼ばれるものです。しかし、これは最良の認証方法とは限りません。なぜなら、SIMスワップ詐欺と言われる手法で、あなたの携帯電話番号は簡単に盗まれる可能性もあるためです。
多要素認証は急速に普及しており、今日では多くのクラウドサービスでも多要素認証を導入しています。例えば、VPNサービス業界の中でも高品質なトップブランド、NordVPNでも多要素認証アプリを提供しています。ログインの度に多要素認証を行うのはひと手間かかりますが、それ以上にセキュリティ面でのメリットが大きいと言えます。
複数の人が使うデバイスにパスワードを保存しない
会社や学校など複数人で一つのパソコンを共有している場合は、ウェブブラウザ上に自分のパスワードを保存しないようにしましょう。例えば企業で顧客情報を管理している場合、アクセス権のある人にパスワードや顧客情報、機密情報を持ち去られ、情報漏洩という大きな事態に発展する可能性もあります。当然のことに聞こえますが、情報漏洩は他人事ではなく、たった一人の従業員のパソコンからも起こり得るということを十分に理解しなければなりません。
メール・文書・オンラインのメモにパスワードを保存しない
パスワードは機密情報であり、厳重に管理されなければなりません。いくら親しい間柄であっても、パスワードをメールやチャットアプリで送ることは避けなければいけません。チャットアプリなどが悪意のある第三者から情報を傍受されてしまうケースもあり得るので絶対にやめましょう。
他にも、周りに人がいるところで電話で誰かにパスワードを伝えることも、誰かに聞かれたり、メモをされたりと被害に遭う可能性があるので絶対にやめましょう。
公共の場ではVPNを利用する
VPNとは(Virtual Private Network:仮想プライベートネットワーク)の略で、インターネット上に仮想専用線を設定し、特定の利用者間でしか接続できない専用ネットワークです。外部から盗聴などの侵入ができないように暗号化して機密情報を守ることができるため、安心して通信することができます。コロナ禍でリモートワークが定着しつつある今、約8割の企業がリモートワークでVPNを利用したという調査結果があり、VPNは身近な存在になりつつあります。しかし、プライベートのパソコンではカフェなどのフリーWiFiを利用しているという人も多いのではないでしょうか?
無料WiFiはハッカーからすると、手軽に行いやすい攻撃対象の一つです。通信が暗号化されていなければ簡単に情報を傍受することができ、ハッカーにとっては言わば獲物を狩る絶好の機会となります。それを防ぐためには、VPN接続を利用して安全な通信を心がけましょう。
まとめ
(記事提供:NordVPN公式ブログスタッフ 高橋美穂)
