「mixi」「ニコ動」も大打撃のアカウント不正ログインを少しの工夫で防げるパスワードの作り方

写真拡大 (全3枚)

6月に入り、大手SNS上でのアカウント乗っ取りによる不正ログイン事件がかつてない規模で多発しているのをご存知だろうか。
直近では、6月17日にSNS大手の「mixi」アカウントの不正ログイン被害が約26万件にも達したことが確認されたと報じられている。6月9日の時点では約4万件であったが、予想に反して被害が急速に拡大している。さらに、現在も不正ログイン攻撃は続いており、5月30日から6月16日までに約430万回の不正ログインが試みられた痕跡があったそうだ。このほかにも、「ニコニコ動画(niconicoアカウント)」や「LINE」でも同様の被害が報じられている。

これは、「リスト型アカウントハッキング」という手法によって被害が拡大している。簡単に言うと、どこからか流出した個人アカウントとパスワードを使い、さまざまなサービスにログインをしかけてみるというもの。ここで問題となるのは、複数のサービスで同じパスワードが使いまわされているということだ。同じアカウントとパスワードが、ほかのサービスでも設定されているのだから、流出した1つのアカウントとパスワードで不正ログインされてしまう。


では、どうしてパスワードを使いまわしてしまうのか。理由は簡単である。沢山のパスワードを全て覚えてはいられないからだ。最近では、スマートフォンやSNSの利用が増えたこともパスワードの使い回しに拍車をかけている。そこで、つい覚えやすいパスワードで統一してしまうのだ。そのため、パスワードが一度でも流出すると、不正ログインの規模も甚大になってしまう。

結果、不正ログインされてしまいクレジット情報や個人情報を抜き取られる、勝手にポイント交換されても後の祭りである。
対策は一見難しそうにみえるが、実は、不正ログイン事件を防ぐ方法というのは、それほど難しくない。

●簡単に忘れにくいパスワードを作る3つのレシピ
ようするに、覚えやすいけれど、強い(人に予想されない)パスワードを作ればいいのだ。

その1:サービスごとに違う英字を入れる-横ずらし暗号化を使う
不正ログインを防ぐ方法は、同じパスワードを使いまわさないことだが、具体的には各サービスの最初の数文字をパスワードに組み込んでしまうと忘れにくい。しかしそのままではわかりやすいので、スマートフォンやパソコンで利用するフルキーボードを使った簡単な暗号化をする。それは「横ずらし」だ。


秘儀!横ずらし!はキーボードを見ながら横の文字を入力するだけ



例として、筆者の苗字を横ずらし暗号化してみる
「fuse」

横ずらし暗号化後「dyaw」

さらにパスワードにいくつか大文字を入れる「DyAw」
たったこれだけで強固なパスワードのでき上がりである。

その2:組み込む数字はSNSに書かない数字にしよう
続いてパスワードに数字を組み込む。しかしながら、SNS上で露出しやすい生年月日は絶対にNG。SNS上で「誕生日おめでと〜」と書かれた日付から、誕生日がわかり、その日付からパスワードが他人にわかってしまうということもあり得る。
それでは、どのような数字が良いのか。自動車のナンバーや自宅の郵便番号、勤め先や学校の郵便番号など、おおよそSNS上に書かないけれども、覚えられる数字が良い。
パスワードとなると、心理的に英字+数字という組み合わせが多くなるが、英字+数字+英字というパスワードにしよう。パスワードは長いほうがいい。

その3 忘れにくいパスワードのコツをスパイスに
・「サービスごとに違う文字を入れる」
・「SNS上に書かない数字を入れる」
・「自分にとって意味のある英字でも暗号化で対策」
・「定期的にパスワードを変更する」
以上、これだけだ。
これだけで、誕生日をパスワードにする場合に比べて何段も強固なパスワードとなり、不正ログインされにくくなる。
なお、これはあくまで一例なので、自分が忘れにくい組み合わせを考えることが重要だ。

●手っ取り早くパスワード管理アプリを使うのもアリ
パスワードをいくつも作ると、記憶だけでは覚えきれなくなる。そこで便利なのが、パスワード管理アプリだ。一例として「Keeperパスワード&データボルト」というアプリを利用してみよう。
このアプリは自動的にパスワードを作成してくれるほか、AndroidやiPhone間で同期することができる。また、年間995円の有料プランにすると、万が一スマートフォンが壊れてしまったなどのトラブル発生時にパスワードなど保存した情報を元に戻すことまでできる。


パスワード作成をしてくれるアプリは考えなくてすむのでラク


これらパスワード管理アプリを利用すれば、アプリを見るためのパスワード1つを覚えれば良いため効率が良い。

●2段階認証も利用し不正アクセスの被害を未然に防ぐ
パスワードに加えて設定しておきたいのが2段階認証というシステムだ。
これは、登録していないスマートフォンやパソコンなどからログインがあった場合、あらかじめ設定しておいた自分のスマートフォンやケータイに通知が送られる。この通知に記載されている一時的に発行されたパスワードを入力しないとログインできないというもの。この仕組みは金融機関や大手サイトのGoogleなどにも利用されている。


コツを見ながら手動でパスワードを作る、アプリに任せて自動作成する、どちらの方法でも良いので、パスワードを使いまわしている人は早急に対策しよう。
被害が出てからでは、流石に遅すぎる。


Keeperパスワード&データボルト(iPhone向け)
Keeperパスワード&データボルト(Android向け)
誰でもわかる2段階認証の仕組み


布施 繁樹