約4人のうち3人が適切なパスワード管理をしておらず、サイバー攻撃を受けやすくなっている…。
そんな調査結果が、サイバーセキュリティサービスを提供しているKeeper Security(キーパー・セキュリティ)の「パスワード管理レポート 現実と認識の統合」で明らかになった。
調査は2023年1月に、アメリカ・イギリス・フランス・ドイツに住む16歳以上の8211人を対象に実施。
この中で「あなたのパスワードの使い方に最も近いものはどれですか?」との質問に、「強力でユニークなパスワードをすべてのアカウントに使用している」と回答した人は25%(約4人に1人)だった。同社によると、この状態が適切にパスワード管理ができているということになるそうだ。
ちなみに、ここでいう“ユニークな”とは、唯一の・独自のという意味。また、この「強力でユニークなパスワードをすべてのアカウントに使用」は、あくまで回答者自身の認識となる。
一方で、適切にパスワード管理ができていない人の回答で一番多かったのが「強力なパスワードを使っているが、そのバリエーションを使い回している」で34%。そのほかでは「簡単だが、ユニークなパスワードを全てのアカウントに使っている」(16%)、「簡単なパスワードを使用し、そのバリエーションを使い回している」(14%)などが上位を占めた。
流出しているパスワードは240億個
では、自分のパスワード管理は問題ないだろうか。適切にパスワード管理ができていないとどんなリスクがあるのか。Keeper Security APAC アジアパシフィック地域営業統括本部長の黒田和国さんに話を聞いた。
――25%(4人に1人)が「適切にパスワード管理ができている」と回答したことをどう思った?
思ったより多いなと感じました。私の推測では、実際に「全てのアカウントに強力でユニークなパスワードを使っている」人は25%もいないだろうと思います。
――この調査は海外のものだが、日本ではどんな結果が出ると考える?
あまり変わらないだろうと思います。
――適切にパスワードを管理していないとどんなリスクがある?
パスワードがダークウェブに流出し、ハッカーグループの間で売り買いされてしまうリスクがあります。
ダークウェブとは、ハッカーグループがパスワードや機密情報などを売り買いするネットワークで、一般の人はアクセスできません。Relia Quest(アメリカのコンピューターセキュリティ企業)が行った調査によれば、2022年6月までに、そこで240億個以上のパスワードが売り買いされていると言われています。
使い回しで複数のアカウントが攻撃されるリスクも
――あるアカウントのパスワードがダークウェブに流出するとどんなことが起こりうる?
例えば個人では、ネットバンキングのパスワードが流出すれば、勝手にアクセスされて金を移し替えられてしまう、クレジットカード情報が流出すれば、身に覚えのないところで引き落としされてしまうなどが起こりえます。その他、ポイントが勝手に使われてしまったり、SNSのアカウントを乗っ取られてしまうなどのケースもあります。
また、一つのパスワードを使い回していたり、あるパスワードのバリエーションを付けたパスワードを使い回したりしていると、その一つが漏れると、それを利用して複数のアカウントにアクセスされる攻撃を受けやすくなります。
企業の場合で多いのは、開発状況やパートナー情報といった機密情報が漏洩してしまったり、ランサムウェア(身代金要求型ウイルス)による攻撃を受けてしまうことです。このウイルスに侵入されると、ハッカーグループにシステムを復旧してもらわなければならず、引き換えに高額な身代金を要求されてしまうのです。
人間が覚えられるパスワードは弱い?
――では、どんなパスワードが流出しやすい(脆弱な)の?
人間が考えつく、意味があって覚えられるようなものは、既にハッカーグループが持っている(把握している)と思っておいた方がいいでしょう。
例えば、“1234123456”というパスワードは最もよく使われるものの一つで、約2900万人が使っているとされています。では、"1qaz2wsx”はどうでしょう?一見強力そうに見えますが、実はこれも日本で4番目くらいによく使われているパスワードなんです。パソコンのキーボードの左手を見ると、このキーが斜めに順番に並んでいますよね。
こうした“定番”のパスワードや、誕生日を使ったパスワードなど、単純なものはすでに流出(把握)していると考えられます。このようなパスワードを使っている場合、いつサイバー攻撃を受けてもおかしくないのです。
――では、強力なパスワードとはどんなもの?
人間が覚えられないような複雑なもので、ダークウェブに流出していないパスワードです。例えば弊社のパスワードジェネレータからランダムに作成したパスワードの例で、アルファベットの大文字小文字+数字+記号+20文字数以上ではこのようになります。
「L4=o;AF{8Cq]=8D=1kWr」
――強力なパスワードでも使い回すのはダメ?
そのパスワードがいくら強力でも使い回しはやめましょう。バリエーションを付けてもダメです。
パスワードマネージャーを使うと管理が楽
――複雑なパスワードを何十ものアカウントごとに設定するとなると、管理の手間がかかる。また、流出しているかどうか把握する方法がわからない。どうすればいい?
おっしゃるとおりですよね。内閣サイバーセキュリティセンターでも推奨している方法が、安全性の高いパスワードマネージャー(パスワード管理アプリ)を使うことです。
パスワードマネージャーを使えば、自動で強力なパスワードを生成でき、それぞれのアカウントのIDと合わせて記憶できます。そしてウェブサイトやアプリにログインする際にコピペする必要もなく、自動入力でログインできるようになります。そのパスワードが流出していない強力なものかをダークウェブと照らし合わせてチェックする機能もあるので、万が一漏れた場合にもすぐ変更することができます。
ちなみに、以前はパスワードを定期的に変えることが推奨されていましたが、現在は内閣サイバーセキュリティセンターのガイドラインにも記載されているように、漏れた場合にのみ変更すれば大丈夫です。
――無料のパスワードマネージャーでも使ったほうがいいの?
誰が作ったかわからない無料のパスワードマネージャーは非常に危険です。最悪、保存したパスワードをダークウェブに売られてしまう可能性もあるでしょう。また、ブラウザのパスワード保存機能もパスワードマネージャーですが、安全とは言えません。パスワードを暗号化していないので、流出した場合に中身を見られてしまうのです。
有償のパスワードマネージャーを使い、電話番号などの多要素認証を使ってログインするのが一番安全な方法と言えます。
――なんとなく危険だとわかっていても、自分が覚えられるものにしたり、強力でも使い回したりしている人は多いと思う。どうしたら危険性を意識して、パスワード管理ができるようになると思う?
誰もが覚えられるパスワードを使うということは、パスワードを設定していないのとほとんど同じで、ハッカーはそのアカウントに簡単にアクセスできてしまいます。
パスワードの流出が原因で、大切な情報や資産が盗まれてしまったり、億単位のお金をハッカーに請求される事件もたくさん起こっています。そうなってからでは取り返しが付きません。
パスワードは単にログインするためだけものではなく、サイバー攻撃から資産や情報を守るために機能しているということをぜひ意識してほしいですね。
なおキーパー・セキュリティのHPには、自分のメールアドレスに紐づいたパスワードがダークウェブに流出していないか無料でチェックできるサービスがある。自分のパスワード管理に不安がある人は、パスワードマネージャーの導入を検討してみるのもいいかもしれない。