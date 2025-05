「アクセスするたびにパスワードを忘れてしまい、再設定から始めなければならない」という経験のある人は多いだろう(redpixel / PIXTA)

「鋼の錬金術師」というアニメでは、「等価交換の法則」が世界の物理現象を支配している。何かを得るには同等な物質・対価が必要という考え方だ(なお劇中の「錬金術師」はこの法則に従って、鉄や炎などを自由に作り出すことができる)。



この法則は現実世界でも当てはまることが多い。人類はコンピュータやインターネットを手に入れたが、「パスワード管理」という代償を払い続けている。

ここでは、パスワードにまつわる対策、俗説、技術について、どういったものなのか、どんな課題があるのか、その対策は正しいのかを解説する。

便利で安全なはずのパスワードが煩雑さとリスクを増大

パスワードは、あらかじめ決めておいた合言葉を使った本人確認方法の1つだ。専門用語では「パスワード認証は、記憶情報による認証方式」という言い方をする。

当事者同士しか知らない合言葉は、低コストの認証方法として使い勝手がよい。コンピュータやインターネットアクセスとの相性もよく、もっとも普及した認証方法となっている。

しかし、ネット上のサービスが拡大し、日常生活のあらゆる場面でパスワードが必要になってくると、人力(記憶)だけで無数のパスワードを管理することは不可能になってきている。アクセスするたびにパスワードを忘れてしまい、再設定から始めなければならない経験は誰もがあるだろう。

生活を便利にするはずのスマートフォンやクラウドが、パスワード管理の煩雑さで台無しになってしまう。問題はそれだけはない。セキュリティのために導入された仕組みだが、パスワードなど符号や鍵を使った認証は、それを知っていれば、鍵を持っていれば誰でも認証してしまうリスクが存在する。

パスワードは現代社会において不可欠なほど広く、深く浸透してしまっている。そのため、本来便利さと安全を両立させるはずのパスワードが、便利さも安全性も阻害するやっかいな存在になっていないだろうか。

世界中で漏洩しているパスワード

ここ数年のサイバー攻撃動向をみると、フィッシングメールによる認証情報(アカウント名+パスワード)の詐取が大きな問題となっている。

以前は、ハッキングやウイルスをばらまいてシステムに侵入するサイバー攻撃が多かったが、現在はフィッシングで認証情報を取得して侵入する攻撃が増えている。

現在、多くの業務システムやさまざまな商用サービス、公共サービスがクラウド化している。これらのサーバーは強固なセキュリティ対策が施されたデータセンターに存在している。

クラウドサーバーのアプリケーションプログラムは、どの国のどのデータセンター、どのサーバーに存在にしているかは特定できない。攻撃者にとって、標的としたいサーバーやプログラムに外部から侵入することは困難になっている。その結果、攻撃者は、手っ取り早くアカウント情報とパスワードを入手する攻撃を多用するようになっている。

大規模なアカウント情報の流出は、実は珍しいものではない。2013年にはヤフー(アメリカ)が30億件、2017年にはEquifaxが1億4800万件、2021年にはLinkedInが7億件という規模のアカウント漏洩事件が起きている。

Equifaxは企業や個人の与信情報を扱う企業で、世界中(主にアメリカ)の顧客のアカウント情報、社会保障番号、その他がサイバー攻撃で盗まれた。対策・対応の不備を問われた企業は法的な罰則を受け、CEOは更迭された。その被害者補償はまだ完全に終わっていない。

マイクロソフトやグーグル、Facebook、X(Twitter)も例外ではない。グーグルは2016年に100万件のアカウント情報が盗まれ、Facebookは2019年から2021年にかけて5億件以上を流出させている。

数だけでいえば、2024年にセキュリティ研究者が260億件以上のアカウント情報・個人情報の巨大データセットを発見している。中国のメッセージアプリなどの情報が多いとされるが、TwitterやDropbox、テレグラム、アドビのアカウントも含まれていた。

このデータセットはMother of All Breach(MOAB:Mother of All〜は「究極の〜」という意味)と名付けられており、漏洩データはダークウェブやアンダーグラウンドマーケットで流通している。

MOABは、おそらく過去の大規模漏洩事件のデータを集めたもので、重複しているものや現在無効となっているアカウントも多数含まれていると思われる。件数だけで重大さを判断するのは危険だが、億単位の漏洩アカウント情報は、普通に取引されている。

いずれにせよ、我々が使っているアカウント情報とパスワード情報は、すでに何らかの形で漏洩していると考えるのが妥当だ。試しに「haveibeenpwned」というサイトを検索して自分のメールアドレスを入力してみてほしい。



haveibeenpwndというサイト(写真:筆者提供)

数年以上使っているものならば、ほぼ例外なく「pwned!(漏洩あり!)」と表示されるはずだ。このサイトは世界中から(前述MOABのような)漏洩したアカウント情報データセットを収集している。入力されたメールアドレスでそれらを検索し、ヒットするデータセットがあれば「Pwned」を表示する。

※Pwnはオンラインゲームで勝ったとき相手を倒したときに使うスラングでown(所有する:敵を支配したという意味)のタイプミスが語源とされている。

パスワードはどのようにして漏れるのか?

漏洩しているパスワード情報の多くは、フィッシングメールなどで入手したものやサイバー攻撃で侵入したシステムからアカウントデータベースの情報を抜き取ったものと考えられる。

データベースを丸ごと抜き取る攻撃も、最初の侵入はフィッシングメールで入手したアカウント情報を利用する場合もある。クラウドサービスでは、公開範囲、アクセス条件などの設定ミスによって漏洩することもある。

大規模な情報漏洩は、内部犯行で起こることもある。2023年NTT西日本で発生した900万件の個人情報流出事件は、委託先業者による不正行為が原因だった。

アカウント情報やパスワードが直接盗まれなくても、なりすましや不正アクセスは可能である。推測可能な弱いパスワードを使ったり、複数のサイトで同じパスワードを使いまわしたりすることでそれが可能になる。

煩雑なパスワード管理を記憶だけでこなすことは不可能だ。たいていの人間は、覚えやすいパスワード、絶対忘れないパスワードを複数のサービスで使いまわしてしまう。生年月日、「Password」「12345」「999999」といった安易なものを使っていれば、これを突破するのも簡単だ。

パスワードを複数のサービスで使いまわしていると、漏洩したアカウントIDとパスワードの組み合わせで、SNSやオンラインバンキング、Amazonや楽天などのECサイトなど、主要なサービスを順番に試すという攻撃が可能になる。

パスワード管理や漏洩対策については、総務省が公開しているサイトが参考になる。類似のサイトはIPA(情報処理推進機構)やセキュリティベンダーも公開している。これらを参考に以下のポイントを徹底するのが基本となる。

・安易かつ類推可能なパスワードは使わない

・同じパスワードは使いまわさない

・パスワードは(親兄弟でも)人に教えない

・パスワードマネージャ、OSの機能を活用する

・2要素認証(2FA)は必ず設定する

ベンダーや各省庁などが公開する対策は、大原則であり守ることに意味はある。しかし、常識や一般論にとどまるものも含まれるので、実践が難しいこともある。

例えば、理想的なパスワードの要件として、類推されにくく覚えやすくなるべく長い文字列、などと規定されているが、使いまわすなという。現実にはそれができないから問題になっている。

パスワードの俗説を検証する

パスワードについてさまざまなルールや常識が存在する。中には根拠が怪しいもの、すでに時代遅れになっているものもある。それらをいくつか検証してみよう。

・パスワードはメモってもよい

PCの画面に付箋メモで貼り付けるのは推奨できないが、紙のメモを厳重に管理すれば、自分のパスワードリストを作ることはむしろよいアイデアだ。パスワードを使いまわしするなと言われても、つい覚えやすい同じパスワードを設定してしまいがちだ。

それを防ぐ意味で、メモ作成は効果がある。ただし、メモが盗まれた場合を考慮して、自分のみがわかる部分を伏字にするなどの工夫は必要である。WordやExcelファイルに保存してもいいが、その場合はファイルを暗号化するといった措置を考える。

・パスワードの文字種は多ければ安全とは限らない

パスワード設定に大文字小文字、英数記号など複数の文字種を強制するサービスは多い。システムでそうなっている以上、従う必要があるが、文字種の多さよりも文字列の長さのほうが、総当たり攻撃への耐性は高くなることが多い。

総当たり攻撃とは、設定条件の中で組み合わせが可能な文字列すべてを試す攻撃だ。文字種が増えれば組み合わせも増えるので、総当たり攻撃の試行回数が増える。しかし、文字数が6桁と少ない場合、アルファベット1種(大文字・小文字)だけでも9文字以上と長くしたほうが組み合わせの総数は増えるので、パスワード強度は高いことになる

パスワードを複雑にすることは、解読しにくさにもつながるが、設定や記憶の困難さから、使いまわしを誘発してしまうリスクもある。

・パスワードは定期的に変更しなくてもよい

以前は有効な対策の1つとされていたが、定期変更が煩雑になると、やはり使いまわしや強度の弱いパスワードの設定を誘発するという理由で、現在は定期変更を強制しなくてもよいとされている。

なお、漏洩が発覚した場合、漏洩が疑われる場合は、ただちにパスワードを変更する必要がある。また、システムや管理上の理由で1つのアカウントを複数人で共有する運用では、パスワードの定期変更は有効な漏洩対策となりうる。

・秘密の質問はいざというときに役立たない

パスワードを忘れたときに、代替の本人確認方法として「秘密の質問」という機能がある。「母親の旧姓は?」「ペットの名前は?」といった質問の答えをあらかじめ登録させ、パスワードを忘れたときにこの質問の答えをパスワードとする認証方法だ。

だが、母親の旧姓や出身小学校などは、SNSなどの公開情報から類推できることがある。また、ペットの名前を覚えていても、入力したときひらがな、カタカナ、漢字、アルファベットか、正しく覚えているだろうか。ペットが複数いた場合、どの名前を使っただろうか。覚えていてもあいまいな記憶ではパスワードの代替にはならない。

以上は、パスワードにまつわる定説や俗説を解説したものである。ただ、これらの大前提として、パスワードの基本ルールを守ったうえでの話と理解してほしい(参考:国民のためのサイバーセキュリティサイト(総務省))。

セキュリティ対策において重要なのは、ルールや運用に頼るだけでなく仕組みやシステムとして違反やミスをなくす対策をバランスよく併用することだ。

同様にパスワード管理もシステムの仕組みやツールを使って安全に行うべきだ。パスワードをオフラインのメモで管理する方法を紹介したが、現在は、パスワードマネージャなど多数のパスワードを効率よく管理するツールも存在する。



パスワードマネージャを利用したログイン支援の例(写真:筆者提供)

OSやブラウザもパスワード管理機能を実装しており、パスワード情報を安全かつ効率よく管理してくれる。



ブラウザにおけるパスワードマネージャの設定画面(写真:筆者提供)

ブラウザのパスワードマネージャは、接続URLごとのアカウント情報とパスワードを覚えてくれて、強度の高い複雑なパスワードを暗記せずともログインをアシストしてくれる。パスワードを設定するときは、ランダムかつ強度の高いパスワード文字列を自動生成してくれる機能もある。これらの機能を活用して使いまわしを避けるようにする。

2FAとデバイス認証は必ず設定しておきたい機能

パスワードによる認証はもはや限界があるとして、新しい認証方式の採用も進んでいる。1つは多要素認証という方式だ。もう1つはパスキーや生体情報を使ったデバイス認証方式だ。

これらの方法は、なりすまし、アカウントの不正利用、サーバーハッキングへの対策として効果が期待できるものだ。積極的に設定・活用していくべきだろう。

多要素認証・2FA

多要素認証とは、本人確認時に2つ以上の認証情報を利用する方式をいう。本人確認時に免許証のほかに保険証やパスポート、マイナンバーカードなど複数の書類が求められることがある。同様に、ログイン時にログインパスワードのほか、第2パスワードやワンタイムパスワードを求めるサイトが増えている。

第2パスワードをあらかじめ設定する方式は、認証情報を記憶に頼るという点でパスワードと同じ問題を孕むことになるが、SMS、メールなどでワンタイムパスワードや認証コードが送られてくる方式は第2パスワードより安全と言える。

攻撃者がログインパスワードを入手、解読していても、認証コードの受信・確認には、本人が持っているスマートフォンやメールアカウントが必要になるため、なりすましを防ぐことができるからだ。

同じ理由で、いつもと違うPCやスマートフォン、アプリなどからログインがあった場合の通知設定、アカウント情報に変更があったときの通知設定は必ずONにしておく。ログイン試行やなりすましによる不正な操作が行われた場合、本人が気づくことができる。その時点でパスワードを変更したり、サイトや警察等へ通報したり対策もとれる。

もはや、ログインパスワードだけで認証するシステムはセキュアでないともいえる。使っているサービスやサイトが、2FAやログイン通知設定に対応していないならば、漏洩リスクが高いサービスと自覚したうえでの利用が求められる。

パスキー・デバイス認証

スマートフォンやPCにパスコード、指紋認証、顔認証でデバイスロックを解除する機能が備わっているものが増えている。スマートフォンではほぼすべての機種が対応しているだろう。これもパスワード認証を補強するセキュリティ対策として有効だ。



Windowsの設定画面でも顔認証・指紋認証、PINコード認証などを有効にしておくといい

パスキーは4桁から6桁程度の数字が使われることが多い。数字の6桁くらいではすぐに解読されるのでは? という心配があるが、デバイス側でパスキーの試行回数は3〜5回程度に制限されている。総当たり攻撃のリスクは低くなっている。顔認証も3Dでの認識、眼球の検出などを行っているので写真など持っていてもハッキングは簡単ではない。

また、パスキーや生体認証は、あくまでデバイスハードウェアへのアクセス、ロック解除に使われるもので、パスキーや顔や指紋の情報は、デバイス内の特殊な領域に保管される。通常のアプリからはアクセス不可能に作られており、サーバー上のパスワード情報でもないので、ネットワーク経由のサイバー攻撃はほぼ届かない。

仮に攻撃者がパスキーを知っていても、デバイスそのものを手元に持っていないと意味がない。

このように、パスキーや生体認証でロック解除されたデバイスは、かなりの信頼性で本人認証が行われていると判断できる。このPCやスマートフォンからのアクセスは、攻撃者のPCやスマートフォンからのなりすましでないとみなせる。

Authenticator:認証アプリ

Authenticatorや認証アプリを使ったログインシステムがある。これもログインパスワードだけに依存しないセキュアな認証方式と言える。

認証アプリに対応したサイトは、ワンタイムパスワードや認証コードをSMSやメールに送るのではなく、利用者によってデバイス認証されたスマートフォンのアプリと通信を行う。利用者は認証アプリの画面でワンタイムパスワードや認証コードを確認してログインを行う。SMSやメールには脆弱性が存在し、認証コードなどが漏洩する可能性がある。認証アプリは、デバイス認証されたスマートフォンごとに設定され、それを保持していないとログインに進めない。

つまり、ワンタイムパスワードを受け取るデバイス、Authenticatorや認証アプリをインストールするデバイスを、自分のパスキーや顔認証でロック解除できるスマートフォンに設定しておくと、SIMハイジャックやなりすましによるアカウントの不正利用のリスクを減らすことができる。

以上、パスワード管理についてさまざまなポイントを解説した。一部繰り返しになるが、最後に要点をまとめると、以下のようになる。

・パスワードの記憶による管理は不可能と考えよ

・弱いパスワードの使用、複数サービスでのパスワードの使いまわしは避ける

・メモやパスワードマネージャなどを活用すべし

・2FAや通知設定はかならずONにする

・パスキー、生体認証でデバイス認証を行い、2FAやワンタイムパスワードと連動させる

・AuthenticatorはSMS受信のワンタイムパスワードより安全

これらのポイントに注意して安全なインターネットアクセスを実践してほしい。

(中尾 真二 : ITジャーナリスト・ライター)