様々なWebサービスやクレジットカードなどアカウントを作成する際に必ず必要になるのが、パスワードの設定です。
新しいパスワードを設定するのが面倒だから、同じパスワードを使いまわしていませんか?
同じパスワードの使いまわしや名前や生年月日の入った推測されやすいパスワードを設定している方は非常に危険です。
ハッカーにパスワードを破られないための対策方法を紹介します。
脆弱なパスワードを設定して、セキュリティを突破され、被害を受けた場合、全て自分の責任になります。
自分の身は自分で守るために強固なパスワードの作成方法を覚えましょう。
セキュリティが突破された事例
簡単なパスワードを設定してセキュリティを突破された事例はいくつもあります。
| 発生日時 | 企業 | 内容 |
|---|---|---|
| 2017年3月10日 | 東京都 | 「東京都税クレジットカードお支払サイト」において不正アクセスが発生し、利用者のクレジットカード情報67万6,290件が外部へ流出。 |
| 2017年3月14日 | 日本郵便 | 「国際郵便マイページサービス」サイトにおいて発生した不正アクセスにより、登録していた顧客情報(メールアドレス)29,116件と、サイト上で作成した送り状1,104件が流出した可能性があると発表。 |
| 2017年4月13日 | 総務省 | 「地図による小地域分析(jSTAT MAP)」において不正アクセスが発生し、これまでに公表された統計情報及びサイト登録者約2.3万人分の個人情報が流出 |
| 2016年4月21日 | 日本テレビ | 「ケータイキット」と呼ばれるソフトウェアが不正アクセスを受けた。結果、最大で43万件におよぶ個人情報(氏名、住所や電話番号など)が外部に流出した可能性が高い発表。 |
| 2016年9月9日 | 東急ハンズ | 「ハンズ・ギャラリー マーケット」に対して不正アクセスが発生し、861人の顧客の個人情報が流出。内10名程度の一部の顧客のクレジットカード情報が悪用を試みられた形跡。 |
引用:https://cybersecurity-jp.com/leakage-of-personal-information
セキュリティが重視されている企業でもセキュリティが突破され被害を受けています。
芸能人のSNSアカウントが第三者に乗っ取られてしまう事件も多発しており、この原因のほとんどが、自分の名前、ニックネーム、生年月日などを使用して、パスワードを設定しているため、パスワードを解読されました。
ハッキングされないためのパスワード作成
安全なパスワードを作成するポイントは以下のようになります。
・関係性のない、推測されない文字列
・文字数を長くする(最低でも10文字以上)
・数字、大文字、小文字などを組み合わせる
・同じパスワードを使わない(パスワードを使いまわさない)
・EvernoteやGoogleドキュメントなどクラウドサービスを利用して、パスワードのメモを残さない
・2段階認証を設定する
・パスワード生成ツールを使用する
上手なパスワードの設定方法
パスワードを設定する上で、一番重要になるのが推測されないパスワードを設定することです。
オススメの方法は意味のない文字の羅列が効果的ですが、強力な反面覚えることが難しく、忘れてしまう可能性やメモが手元にないときにログインできないなどデメリットがあります。
そのため、覚えやすく、個人情報から推測されにく文字列を考える必要があります。
ことわざ・座右の銘を参考にする
自分の好きなことわざや座右の銘を設定することで覚えやすく、推測されにくパスワードを設定することができます。
(お気に入りのことわざ・座右の銘などを公表していないことが使用条件です。)
例えば、Tyototsumoushin(猪突猛進)やDoryokuhauragiranai(努力は裏切らない)などになります。
ことわざや座右の銘をそのままパスワードに設定するのに不安がある方は大文字を入れたり、文頭もしくは文末に数字を入れることをオススメします。
大文字を入れた例
・TyototsuMoushin(猪突猛進)
・DoryokuhaUragiranai(努力は裏切らない)
数字を入れた例
・8TyototsuMoushin(猪突猛進)
・DoryokuhaUragiranai27(努力は裏切らない)
数字を入れる場合は自分の好きな数字を入れるのではなく、パスワードを設定した日付などを参考に設定するようにしましょう。
歌詞や詩を参考にする
歌詞や詩の一部を参考にパスワードに設定することも有効です。
(お気に入りの歌詞・詩などを公表していないことが使用条件です。)
メジャーなアーティストの歌詞や有名な詩の一部から参照するのは推測される可能性があるのでやめておきましょう。
一般的にあまり知られていない、マイナーなアーティストや有名ではない詩を参考にパスワードを作成することがベターです。
短い文章をローマ字に変換する
短い文章を作成してローマ字表記に変換する方法は覚えやすく、簡単にパスワードを設定することができます。
例文は以下のようになります。
・Fuyuyorimonatsugasuki
(冬よりも夏が好き)
・Sakanagatabetai
(魚が食べたい)
短い文章は覚えやすく、ローマ字でパスワードに登録するため、英語のスペルや文法を覚える必要がなく、英語が苦手な方でも問題なく、使用することができます。
サービスの略称や日付を加える
手軽にパスワードを強化する方法は使用するサービスの略称や日付をパスワードに加えることです。
例えば、Facebookの場合、「fb」という文字をパスワードの文頭や文末に加えるだけで、セキュリティの強さが増加します。
それでけではなく、パスワードを作成した日付を加えることも効果があります。
例文は以下のようになります。
・Facebookの場合
fb+パスワード+日付
日付+パスワード+fb
・Amazonの場合
am+パスワード+日付
日付+パスワード+am
・Twitterの場合
tw+パスワード+日付
日付+パスワード+tw
・Instagramの場合
in+パスワード+日付
日付+パスワード+in
・Googleの場合
go+パスワード+日付
日付+パスワード+go
同じパスワードを使いまわさない
同じパスワードを様々なサービスで使用するのは非常に危険です。
危険な理由は1つのサイトでパスワードがハッキングされた場合、他のサービスも被害を受けることになります。
同じパスワードを使いまわすことで、覚える手間が省けるという面では便利かもしれませんが、同時にリスクを高めているので、安全性を最優先に考える場合は、必ず各サービスによってパスワードを使い分けましょう。
「使用するサービスによってパスワードを変えていたら、覚えられない。」このような悩みを抱える方も多いと思います。
解決策としては重要度によって、パスワードを使い分ける方法です。
重要度の高い、ネット銀行、ECサイト、各種SNSやクラウドサービスなどアカウントが乗っ取られることで不都合がある場合は、サービスによって違うパスワードを設定する必要があります。
重要度の低い、無料のメールマガジン、クーポン配布、RSSなどアカウントがハッキングされても大きな被害がない場合は、同じパスワードを使いまわしても問題ありません。
その際に注意していただきたのは、重要度の高いサービスで使用したパスワードを重要度の低いサービスで使用しないでください。
無料で使用できるサービスはハッキングに対するセキュリティ対策が低い傾向があるので、パスワードの情報が流失する可能性が高くなります。
重要度の高いパスワードと重要度の低いパスワードの使い分けは必要です。
クラウドサービスにパスワードを保存しない
パスワードの保存先としてクラウドサービスを利用して保存するのはとても危険です。
理由としては、利用しているクラウドサービスのパスワードが突破された場合、そこにパスワードの情報が集まっているため、複雑なパスワードを設定していても、全てが水の泡になります。
パスワードの扱い方としてベストなのは、インターネットや紙などの媒体に保存せず、自分の頭の中だけに保存しておくことです。
しかし、その方法は誰にも盗み見されることもなく安全ですが、忘れてしまうリスクがあります。
現実的にパスワードの保存先として、一番良い方法は誰にも見られないところに紙に書いて保存しておくことです。
2段階認証を設定する
ハッキングされないための対策法として「2段階認証」のセキュリティシステムを利用することで突破される可能性が低くなります。
全てのWebサービスにこのシステムが導入されている訳ではありませんが、Googleアカウント、Microsoftアカウント、AppleID、Facebookアカウント、Amazonアカウントなどで利用することができます。
2段階認証とはアカウントへのログイン時にパスワードの確認に加え、セキュリティコードの確認をすることです。
セキュリティコードは事前に登録しておいた携帯番号に送信されるので、仮にパスワードを第三者に不正アクセスされても、2段階認証をしておくことでアカウントへの侵入を防ぐことができます。
セキュリティコードを確認するために、ログイン時には必ず携帯電話が必要になります。
2段階認証できるWebサービスは全て設定しておくようにしましょう。
パスワード作成ツールを使用する
「不規則な文字列を考えるのが面倒」という方は、パスワード作成ツールを使用することをオススメします。
LUFTTOOLS
文字数を2〜40文字まで設定することができ、個数は最大1000個まで作成できます。
インストールする必要がなく、Web上で使用することができ、手軽に使えるのがメリットです。
パスワードの強度や文字数なども設定することができます。
Proof
パスワードを自動作成するソフトになり、見た目は少し古いデザインですが、無料で使用でき、シンプルに使えるため、パソコンの操作に慣れていない方も簡単に使用できます。
PassWord君
アルファベット(大文字・小文字の組み合わせ)、数字、記号、3種類の中から最大30桁のパスワードを発行できます。
Windowsにしか対応しておらず、Macに対応していないので注意が必要です。
Entersoft Password Manager
英大文字・英小文字、数字、記号を含めた100ケタまでのパスワードを生成でき、そのパスワードの管理やサイトへの自動ログイン機能も備えています。
このソフトを使用することでパスワードのメモを取る必要がなくなるため、快適に使用できます。
パスワードの強度をチェックするツール
パスワードの強度を調べるチェックツールが各セキュリティソフト会社やIT企業から公開されています。
これらのツールはパスワードの強度を調べることができるツールですが、本当に使用するパスワードは危険ですので入力しないでください。
あくまでも、文字列の長さや組み合わせなどの安全性や強度を参考にするためのツールと考えてください。
KASPERSKYのパスワードチェックツール
セキュリティソフト会社である、カスペルスキー社のパスワードチェックツールになり、パスワードの安全性と強度を判定します。
パスワード解読までに、必要となる時間(年数)も表示されるので、安心して使用できます。
Intelのパスワードチェックツール
ITに詳しくない方も「インテル」という会社名を一度は聞いたことがあると思います。
パスワードチェックツールである「How Strong is Your Password?」はパスワードを入力するだけでクラッキングされるまでの時間が表示されます。
全て英語表記のため少し使いづらいですが、デザインがとても美しいのが特徴です。
パスワード管理ツール
パスワードを作成、安全性を調べた後、必要になるのが管理です。
使用しているパスワードを管理するためのツールを紹介します。
KeePass Password Safe Free
パスワードを管理するツールとして、安全性が高いのが「KeePass Password Safe Free」です。
作成したパスワードをアルゴリズムで暗号化して保存することができます。
Webサービスにアクセスして、自動ログインすることも可能になり、パスワードを作成してから一定時間でデータを破棄するように設定することができます。
日本語にも対応しているので直感的な操作が可能です。
ID Manager
パスワードだけでなく、IDも管理することができます。
保存したデータをUSBなど外部記憶装置にも移行することができるので、使用する端末が変わっても使い続けることができるので便利です。
TREND MICRO
TREND MICROはウイルス対策ソフトとして有名な「ウイルスバスター」を開発している会社になり、パスワード管理ツールの販売も手がけています。
月額154円から使い始めることができ、2年契約で月額137円、3年契約で月額120円で使用できます。
トライアルで始めることができるので、気になる方はぜひ使ってみてください。
セキュリティソフトを販売している会社のソフトなので、セキュリティはものすごく強固です。
ハッキングされやすいNGパスワード
これまでパスワード作成に置ける注意点を説明しましたが、推測されやすいNG例を紹介します。
使用してはいけない例としては、「誕生日」、「名前」、「メールアドレス」、これらを使用したパスワードはハッキングされやすくなります。
他には、「123456」や「login」など単純を設定している方が多く、これらの脆弱なパスワードはすぐにハッキングされるので注意が必要です。
よく使用されているパスワードランキングは以下のようになります。
| 順位 | 2016 | 2015 |
|---|---|---|
| 1 | 123456 | 123456 |
| 2 | 123456789 | password |
| 3 | qwerty | 12345678 |
| 4 | 12345678 | qwerty |
| 5 | 111111 | 12345 |
| 6 | 1234567890 | 123456789 |
| 7 | 1234567 | football |
| 8 | password | 1234 |
| 9 | 123123 | 1234567 |
| 10 | 987654321 | baseball |
| 10 | 987654321 | baseball |
| 11 | qwertyuiop | welcome |
| 12 | mynoob | 1234567890 |
| 13 | 123321 | abc123 |
| 14 | 666666 | 111111 |
| 15 | 18atcskd2w | 1qaz2wsx |
| 16 | 7777777 | dragon |
| 17 | 1q2w3e4r | master |
| 18 | 654321 | monkey |
| 19 | 555555 | letmein |
| 20 | 3rjs1la7qe | login |
| 21 | princess | |
| 22 | 1q2w3e4r5t | qwertyuiop |
| 23 | 123qwe | solo |
| 24 | zxcvbnm | passw0rd |
| 25 | 1q2w3e | starwars |
このような簡易なパスワード設定は、絶対に避けるべきです。
「秘密の質問」の設定にも注意する
ネット銀行などを金融機関のアカウントを作成するさいに必ず必要になるのが「秘密の質問」です。
最近では、金融機関だけでなく多くのWebサービスで、任意で設定することができます。
秘密の質問はパスワードやIDを忘れてログインできなくなった際に、パスワードの代わりとして使用することで、ログインや仮パスワードを発行ができます。
最近の手口で増加しているのは秘密の質問をハッキングする方法です。
「初めて飼ったペットの名前は?」、「卒業した小学校は?」、「出身地は?」など自分のSNSに公開している情報を秘密のパスワードに設定している場合が多く、自分のメールアドレスを知っている知人や友人が秘密の質問を利用してハッキングするケースもあります。
そのため、秘密の質問は必ずSNSに載せていない情報を設定するようにしましょう。
定期的にパスワードを変更する
セキュアなパスワードを維持するためには、定期的にパスワードを変更することが必要です。
複雑なパスワードに設定していても、どこからパスワードが漏れるかわかりません。
自分の過失でパスワードが外部へ漏れることもあれば、サービスを提供しているシステムがハッキングされてパスワードが漏れてしまうこともあります。
そのため3ヶ月1回、最低でも半年に1回はパスワードを変更することで安全性を高く保つことができます。
思わぬところからパスワードは流出する
CookieとAutoCompleteに気をつける
複雑で高度なパスワードを設定しても。思いもよらぬとこから漏れる可能性があります。
例えば、共有のコンピューターを使用して、パスワードを入力した場合、「Cookie(クッキー)」などに入力したパスワードの情報がされ、第三者が保存された情報を利用するケースがあります。
(※Cookieとはパスワードや訪問したサイトのURLの情報などを保存する機能です。)
Cookieの他に注意すべき機能は「AutoComplete(オートコンプリート)」です。
AutoCompleteを簡単に説明すると、スマートフォンなどに搭載されている予測変換の機能になり、キーボードの入力履歴からパスワードの冒頭を入力するだけでパスワード全体を補完します。
CookieやAutoCompleteは非常に便利な機能ですが、不特定多数が使用するインターネットカフェ、学校、会社のパソコンでは個人的に使用しているパスワードの入力は避けるようにしましょう。
もし、パスワードの入力が必要な場合はcookieやAutoCompleteの機能をオフにしてから入力するのが鉄則です。
周囲の目を気にする
パスワードが流出する危険性があるのはデジタルの世界だけではありません。
現実の世界でもパスワードが流出する危険性はいたる所で潜んでいます。
パスワードが流出する原因として多いのが、パソコンのディスプレイや入力しているキーボードの手元を盗み見られることです。
アナログな手口ですが、盗み見る方法で実際にパスワードが流出したケースは数え切れません。
パスワードを入力するときは周囲に誰もいないことを確認して、手元を隠しながら入力しましょう。
口頭で伝えない
信頼している人にパスワードを伝える時も注意が必要です。
周囲に人がいる状況で、パスワードを口頭で伝えた場合、全く関係のない第三者が聞いている可能性があります。
そこから情報が漏れて、ハッキングされるケースも少なくありません。
パスワードを書いたメモを置いたままにする
ログインするためにパスワードを書いたメモを取り出してそのまま席を離れてしまうことで、他人にパスワードを盗み見られることもあります。
メモを書いた紙は、片付けることなく、そのまま放置するのは厳禁です。
席から離れる時は、誰かに盗み見られることを防ぐために、メモを持って、肌身離さず持ち歩くようにしましょう。
端末紛失時の対策もする
スマートフォンなど使用している端末を紛失し、そこからパスワードだけでなく個人情報などが流出することもあります。
端末を紛失したときは保存されている情報を破棄できる設定にしておきましょう。
Googleアカウントの場合は紛失した端末からGoogleアカウントにログインできないようにロックをして、Googleアカウントに保存されている情報を全て破棄することもできます。
被害にあったときの対処方法
パスワードが盗まれた場合は、慌てず適切な対処を取る必要があります。
警察に連絡
パスワードが盗まれ被害があった場合は、まず最初に警察に連絡しましょう。
銀行口座やECサイトのアカウントに不正アクセスされると、高い可能性で被害が発生するので、迅速に対応することで被害を最小限に止めることができます。
国民生活センター
パスワードが盗まれ、被害があることが確信できる場合、警察に連絡するのが一番ですが、「被害があると確信がない。警察に連絡する前に相談したい。」という方は、国民生活センターに相談することをオススメします。
国民生活センターはインターネットの被害だけでなく、消費者の相談窓口として利用できるので、気軽に相談することができます。
まとめ
以上がパスワードを作成時の注意点とハッキングされないための対策方法でした。
これまで説明したことをもう一度まとめると以下のようになります。
パスワード作成時は以下の推測されやすい要素を避けましょう。
・名前
・誕生日
・簡易的な文字列の並び(「1234」、「password」)
・パスワードはできるだけ長く(最低でも10文字以上)
・同じパスワードを使い回さない
注意すべき点はパスワードの作成時だけでなく、管理方法も重要になります。
パスワードの管理は誰にも見られない場所にメモを書いた紙を保存する。
もしくは、パスワード管理ツールを利用して保存するのがベストです。
設定したパスワードをセキュアに保ち続けるためには、以下の3つが重要になります。
・定期的にパスワードを変更
・推測されない秘密の質問を設定
・2段階認証の設定
複雑なパスワードを設定していても、同じパスワードを使い続けるのは危険です。
クラッキング剛撃の被害を避けるためには必ず、定期的にパスワードを変更しましょう。
2段階認証の設定はハッキング対策として、最も有効な手段になります。
パスワード情報漏洩の被害は年々増加傾向にあるので、しっかりと注意を払いましょう。
みなさんも「いま、設定しているパスワードが本当に大丈夫なのか?」もう一度確認してください。