トピックス 2021.03.23 パスワードは頻繁に変更しない方が良い!?パスワードの新常識
モバイルマーケット白書2019によれば、スマホユーザーは平均99個のアプリをダウンロードしているのだそうで、PCで利用するWebサービスを含めれば、私たちが管理するパスワードの数は膨大な数になります。
しかし、全てのアカウントで異なるパスワードを設定している人は少数派なのではないでしょうか。
米セキュリティ企業Balbixが行った調査によると、平均的なユーザーは1つのパスワードを約3つのWebサービスで使いまわしていることが分かっています。
いくつものWebサービスを利用する中で、安易に突破されてしまうパスワードを設定してしまうことは、アカウント内の個人情報や、アカウントの乗っ取りなどの被害を誘発する原因にもなります。
そこで今回は、Web時代におけるパスワード設定の重要性とパスワードの新常識についてご紹介していきます。
漏洩しやすいパスワードの具体例

パスワードの中には、第三者からアクセスされやすいパスワードというものが存在します。
パスワード管理関連サービス「NordPass」が毎年発表している『最も危険なセキュリティ性を持つパスワード』によると、2020年は以下のパスワードが危険に晒されているようです。
1位:123456
2位:123456789
3位:picture1
4位:password
5位:12345678
6位:111111
7位:123123
8位:12345
9位:1234567890
10位:senha
数字順の羅列や単語などは、第三者から容易に予測アクセスされやすいパスワードとされています。
ランキングに乗っていないパスワードであれば良いというものではなく、メールアドレス等から推察されやすいものや、他アカウントで使用しているパスワードをそのまま使用する場合もセキュリティリスクが高まります。
では、どのようなパスワードを設定すればよいかというと、単純な文字や数字の羅列でないものやアカウントごとに新設したものを設定することが重要です。
第三者からアクセスされないパスワード対策:二段階認証

第三者からアクセスされにくいパスワード対策として挙げられるのが、主に「二段階認証」と「パスワードの複雑化」です。
二段階認証は、正しいパスワードが入力された際、事前に登録しておいた携帯電話の番号にSMSメッセージで送付される乱数を入力することでログイン処理を完了させる方法です。
この方法は、第三者からのログインを未然に防ぐほか、パスワードなどのログイン情報が第三者に漏れているかどうかが知ることもできるメリットがあります。
「Google Authenticator」や「Authy」といったサービスが代表的な二段階認証サービスとして挙げられます。
第三者からアクセスされないパスワード対策:パスワードの複雑化

攻撃者がパスワードの解読に用いる手口に「ブルートフォースアタック(総当たり攻撃)」と「辞書攻撃」と呼ばれるものがあります。
ブルートフォースアタック(総当たり攻撃)
非常に原始的な手法ではありますが、一つずつ順番に文字を変えながら、手当たり次第に文字列を試していく方法です。英文字7桁であればたった0.3秒で解読することができます。
辞書攻撃
名前や会社名など意味のある言葉をパスワードに設定している人が多いことを逆手にとった攻撃で、意味のある言葉をリストアップして、それを元に片っ端から攻撃を仕掛けるというものです。
具体的な対策
こうした攻撃に対して有効的なのが、パスワードの複雑化です。
英文字7桁であれば、たった0.3秒で解読されてしまう一方で、6文字加えて「英文字13桁」にするだけで解読時間は200年もかかります。
さらに有効的な手法として挙げられるのが、意図的な「スペルミス」です。
アスキー社によれば、一見簡単に解読されそうな「ThisIsMyPasswrd」というパスワードは解読に6億年もかかるそうです。
その理由は、大文字と小文字を組み合わせた上に、意図的にスペルミス(oが抜けている)を混入させているからです。
他にも、アルファベットの「o」の代わりに、数字の「0」を使用するなど、パスワードにスペルミスを混入させることで強固なパスワードを作成することができます。
パスワードの新常識「パスワードの定期変更はリスクになる」

これまでパスワードは、頻繁に変更することが全世界で推奨され、日本でも総務省が「国民のための情報セキュリティサイト」を通じて、パスワードの定期変更を促してきました。
しかし、こうしたアドバイスは今や時代遅れになろうとしています。
ノースカロライナ大学が学生と教職員を対象に行った調査によれば、定期的にパスワードの変更を求められた被験者は、攻撃者が容易に想像できるような簡単なパスワードを設定する傾向が見られたのです。
さらに前出の総務省も、ユーザーが作成するパスワードがパターン化しており、容易に推測可能なパスワードを使い回す傾向を指摘し、2018年には、以下の条件を満たす場合は定期的にパスワードを変更する必要はないと表明を出しました。
1. 名前などの個人情報からは推測ができないこと
2. 英単語などをそのまま使用していないこと
3. アルファベットと数字が混在していること
4. 適切な長さの文字列であること
5. 推測しやすい並び方や安易な組み合わせにしないこと
上記の条件を満たすとなると、管理しなければならないパスワードの数が膨大になってしまい、どこかに書き留める必要が出てきます。
パスワードを1箇所に書き留めることは、パスワード管理において長年タブーとされてきましたが、Googleのアカウントセキュリティ担当者であるマークリッシャー氏は、パスワードを書き留めることを推奨しています。
当然、パスワードが書き留められたエクセルシートなどにアクセスされるリスクもありますが、複数のサービスで使いまわしているパスワードを第三者に悪用されるリスクの方がはるかに高いと指摘しています。
終わりに
利用するWebサービスの数や種類が増えるごとに、私たちが管理しなければならないパスワードの数も増えるため、ついつい簡単なパスワードを設定しがちです。
しかし、「パスワードを6桁増やす」「意図的なスペルミスを混入させる」といった、ほんの少しの工夫を加えるだけで、事実上破ることが不可能な強靭なパスワードを作成することができます。
そして、作成した複雑なパスワードをスマホのメモやスプレッドシートなどにまとめておき、必要に応じてパスワードを確認するだけで、セキュリティを格段に高めることができるのです。
こうした小さな心掛けが、トラブルを未然に防ぐポイントになることをぜひ覚えておいてください。
【関連リンク】
モバイルマーケット白書2019(App Ape)
https://ja.appa.pe/reports/whitepaper-mobilemarket-2019
日本人が所持するスマホアプリは平均99個、実際に使うアプリは38個(ferret)
https://ferret-plus.com/14293
1つのパスワード、平均して2.7アカウントで使い回されている - 1万人超調査(livedoorNEWS)
https://news.livedoor.com/article/detail/18236887/
Top 200 most common passwords of the year 2020(NordPass)
https://nordpass.com/most-common-passwords-list/
国民のための情報セキュリティサイト(総務省)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」(アスキー)
https://ascii.jp/elem/000/004/016/4016454/
TEXT:セキュリティ通信 編集部
PHOTO:iStock
