コラム

 公開日: 2015-01-22  最終更新日: 2015-07-24

脆弱なパスワード

私たちがインターネット上のオンラインサービスを利用する上で、認証情報であるユーザIDとパスワードを個々に登録し、管理しています。ユーザIDはメールアドレスで代替されることも多いため、他者が知り得ない情報はパスワードとなります。もし、不正アクセスを目論むハッカーにパスワードを奪われてしまうと、正規の利用者になりすまされることで、不正な取引や情報漏えい、等の被害を受けることになります。そのため、単純なパスワードを設定しない様、あちこちで注意喚起されているのはご承知だと思います。

ワーストパスワード25

米国でオンラインパスワード管理ソリューションを提供するSplashData社は、2011年以降、フィッシング詐欺等で流出してインターネット上に掲載されたパスワードの情報を分析した結果を公表しています。先日、2014年に流出した330万件のパスワードを集計した結果が公表されました。内容は以下の通りです。
2014ワーストパスワード

第1位の「123456」をはじめ、数字のみで構成されたパスワードが上位25件中9件を占めています。また、第2位の「password」を筆頭に、「baseball」「football」などのスポーツ、「superman」「batman」などのキャラクター、「dragon」「monkey」「shadow」などの名詞、あるいは「qwerty」というキーボード配列のように、単純な内容のパスワードばかりです。
また、調査が始まった2011年から時系列に並べた時の遷移が以下の表になります。
2011-14ワーストパスワード遷移
凡例

上位2つのパスワードは、途中順位の変動がありましたが、変わっておりません。また、その他のパスワードも順位の変動はありますが、ほぼ同じような顔ぶれとなっています。特に2014年度は、過去にランキングされたパスワードの再登場が目立っています。

SplashData社のレポートではその他にも以下のような状況が確認されたと報告されています。
・自分の好きなスポーツをパスワードに含めないようにした方が良い。
 -上位100件には、「hockey」「soccer」「golfer」が含まれる
 -同様に、「yankees」「eagles」「steelers」「rangers」「lakers」も上位100件に存在
・誕生日や誕生年も含めない方が良い
 -上位100件には、「1989」「1990」「1991」「1992」が含まれる(23~26歳)
・上位100件には下品な(swear)言葉やフレーズ、趣味、著名なアスリート、車のブランド、映画名なども多く含まれる

パスワードルールの確認

オンライン上のサービスも多様化し、個人でいくつものサービスを使用していると、同じパスワードの使い回しも行われがちです。この場合はどこか一つのパスワードが破られれば、同じパスワードを使用するすべてのサイトで被害を受ける結果にもなりかねません。
パスワードルールについては幾度となく注意喚起され、また社内教育等でも学習されていると思いますので、一般的と思われるルールについて、確認のために記載します。

・パスワード長:8桁以上
・複雑性:数字、記号、英大文字、英小文字の組合せ
・パスワード変更間隔:3ヵ月を目安
・多様性:特に重要なアカウントについては別々のパスワードを使用
(社内システムについて、上記に追加して以下の設定を行うべき)
・初期パスワード:強制変更
・ロックアウト回数(パスワード誤入力):3~5回の誤入力でアカウント使用不可
・パスワード変更履歴:過去に使用したパスワードの使用不可

システム上、上記内容でのパスワード設定ができない場合もありますが、その場合は適用可能な上限で対応ください。また、煩雑さからシステム上許容される最低限の内容にしてしまいがちですが、できる範囲でより厳しいルールでパスワード設定することを心掛けてください。例えば、パスワード長を1ケタ増やすだけでも、少なくとも
数字10字×英大文字26字×英小文字26字=6760パターン
のパスワードの選択肢が増えることになります。

自己(自社)のパスワード管理ルールの設定

まさかSplashData社が報告したようなパスワードを使用していることは無いとは思いますが、自分の利用するサービスとそこで使用するパスワードについて棚卸を行い、必要に応じてパスワード変更を行うことを検討ください。
これは自分の会社で使用するパスワードについても同様です。様々な企業内システムで単純なパスワードを使い回していると、内部不正者によって悪用される可能性もあります。

生体認証やワンタイムパスワードも狭い範囲でしか使用されていないため、しばらくはパスワード認証が主流となる時代が続くと思います。昨今では様々なパスワード管理ツールもあるので、自分のパスワードをどう管理するか、再検討してみてはいかがでしょうか。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社の関連するサービスの紹介はこちらです。併せてご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

2

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ
個人情報保護法改正のポイント

2015年夏に10年ぶりに改正された個人情報保護法が2017年5月30日に施行されることが決定しました。これまでは、個人情報の取扱件数が5,000件以下の事業者は個人情報...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
事業者が取り扱う「個人情報」とは?-改正個人情報保護法施行前の確認

2015年夏に改正された個人情報保護法が今年(2017年)の5月30日に施行されることが正式に決定しました。現行法では...

[ 個人情報保護 ]

ネット通販の詐欺サイトによる被害に遭わないために

ネット通販における詐欺の被害が続いています。こうした詐欺サイトで商品購入手続きを行うと、代金を振り込んでも...

[ リスク管理 ]

「情報セキュリティ10大脅威2017」について
イメージ

先日、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威2017」が発表されました。このレポート...

[ セキュリティ ]

IoT機器としての情報家電等のリスク-年末商戦に関連して

 インターネットに接続する家庭用製品にはセキュリティが必要 今年も残すところあと僅かとなりました。この時...

[ セキュリティ ]

パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ