コラム

 公開日: 2016-12-07  最終更新日: 2017-04-19

パスワードの再確認~女性芸能人のデータ盗み見事件に関連して

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データなどを覗き見していた報道機関の社員が逮捕されました。報道によると、容疑者は「出来心でパスワードを突破することに喜びを感じ、ゲーム感覚でしてしまった」と供述しているようです。この容疑者は何らかの方法で被害に遭った女性芸能人の電話番号やメールアドレスを入手し、パスワードを推測して無断でログインしていたとされています。
過去にも同様の事件が報道されており、その度に「クラウド環境にデータを保存することは危ない」と騒ぐ人もいますが、問題なのは自分のデータが保管されている場所に「推測しやすい」パスワードを使用することが問題なのです。リアルな世界で例えれば、家や部屋に鍵をかけない、または単純な鍵を使っていることで盗難に遭うことと同じことです。このような犯罪は芸能人だけでなく、皆さんが会社やプライベートで使用するPCやスマートフォンでも行われている可能性があります。ただ、気付いていないだけです。
今回は、安全性を高めるためのパスワード設定や管理について確認します。

使ってはいけないパスワード

報道によると、今回被害に遭った女性芸能人はパスワードを「名前+誕生日」のような、誰もが入手可能な情報で構成されていたようです。「推測しやすい」パスワードとはどのようなものか、改めて確認します。

1.単純なパスワード
毎年の様にセキュリティ会社等から危険なパスワードが公表されています。例えば、「123456」「111111」「password」「qwerty」...といった内容です。こうしたパスワードを設定することは問題外なのです。しかしながら、依然としてこうしたパスワードを使用する方が多いのも事実です。

2.自分に関する情報
以前は自分だけが解る情報でパスワードを設定する、という考え方がありましたが、現在では成り立たなくなってきています。多くの人がSNS等で自分の身の回りの状況や出来事を公開する機会が増えたため、投稿に含まれるような情報をそのまま使うことは危険だと考えた方がいいでしょう。例えば、以下の様な情報です。
・氏名や誕生日:自分、家族、友人、等
・自分の経歴等に関する情報:出身地、学歴、職歴、等
・ペットに関する情報:名前、種類(犬種等)、等
・好きなスポーツチーム、芸能人、映画や楽曲、等の名前
・お気に入りの地名、場所やランドマーク、等
・好きな食べ物や飲み物、キャラクター、ブランド、等
・その他マイブームに関する情報
・何らかの記念日

また、上記の情報はパスワードを忘れた際の質問に対して、事前に登録した回答となる場合もあるので、ご留意ください。

3.流行りもの
パスワードを定期的に変更する場合、そのタイミングで流行しているものをパスワードにする人もいます。こちらもそのまま使用することはお勧めできません。また、頻繁に使用しないパスワードに使用すると、ブームが過ぎた後では忘れてしまう危険性もあります。

4.パスワードの使い回し
複数のサービスで同じパスワードを使用していると、どこか一つのパスワードが破られた場合、他のサイトでも同じパスワードを使って不正アクセスされる可能性が高くなります。例えば、Gmailで設定したパスワードが破られた場合、他にも使用している可能性が高いFacebook、Twitter、LINE、iCloudなどのサイトにも同じパスワードで入れるかどうかを試す場合もあります。

5.ユーザーIDにも注意
多くのサイトではユーザーIDとしてメールアドレスが使用されていますが、中にはユーザーIDも自分で設定するサイトがあります。その際に、パスワードを設定する際と同じような頭の使い方をすると、思考パターンを読み取られてパスワードが推測される危険性もあるので、気を付けた方がいいでしょう。

安全性の高いパスワード作成のヒント

それでは、破られる可能性の低いパスワードをどうやって作成すればいいでしょうか。キーボードをランダムに打って作成する方法もありますが、覚えられないパスワードをどう保管するかという問題も出てきます。ここでは、破られにくいパスワードを作成するためのヒントを紹介します。

1.文字の組み合わせパターンを増やす
パスワードの桁数を長くし、私用する文字の種類を増やせば、単純に組み合わせパターンが増えることになるので、破られる確率が低減します。使用する文字種類と桁数による組み合わせパターンは以下の通りです。
桁数、文字種類と組み合わせパターン
6桁の英大文字/小文字と数字を組み合わせれば、560億を超えるパターンとなり、総当たり攻撃で破られることはほぼ不可能です。これに記号を追加すれば、更にパターンを増やすことができます。また、組み合わせパターンを増やすには「最初=大文字」という法則ではなく、ランダムな場所に大文字を設定するべきです。

2.一つの単語ではなく、複数の単語を組み合わせる
一つの単語だけだと辞書攻撃で破られる可能性もあるので、複数の語を組み合わせたり、文章としたりすることで簡単に推測することが難しくなります。また、こうすることで自然にパスワード長が長くなります。

3.サービス毎に異なるパスワードを設定する
面倒かもしれませんが、複数のサービスで同じパスワードを使用することは危険です。被害を最小化するためにも、個別のパスワードを設定すべきです。また、これを機会にパスワードを使用するサービスの棚卸を行い、必要なサービス以外のユーザーIDを削除して管理対象を整理することも検討すべきです。

パスワードの管理方法

できればパスワードは自分の頭の中で記憶することが望ましいのですが、上記の様にサービス毎に複雑なパスワードを使用すると、なかなか難しくなってきます。作成したパスワードを管理するための方法として、以下が考えられます。

1.紙に書く
「パスワードは紙に書いておく」と言うと、それはおかしいと思う人も多いかもしれません。紙に書いたパスワードが問題となるのは、その紙がPCの傍に置かれていたり、画面の近くに貼り付けられていたりする等、誰もが目に触れる場所にある場合です。紙に書いたパスワードは利用状況に応じて、誰にも触られない場所に保管するか、財布等の中などで肌身離さず持ち歩くことにすれば漏えいのリスクは低くなります。

2.Excel等の電子データに保存する
作成したパスワードをExcel等のデータファイルで保管する方法もあります。前提条件として、パスワードロックが可能なファイル形式とすべきです。そうすれば、ファイルを開けるパスワードだけ覚えておくことで、全てのサービスのパスワードを管理することができます。

3.パスワード管理ツールを使用する
スマートフォンやPCで使用できるパスワード管理ツールもあります。こちらについても、ツールを起動するためのパスワードだけ覚えておくことで、登録したすべてのパスワードは覚える必要はありません。さらに、ログイン画面と連動してユーザーIDとパスワードを自動入力する機能もあるので、打ち間違えによる認証エラーも起こりません。
なお、パスワードを記憶する機能のあるブラウザーもありますが、使用は控えることを推奨します。なぜならば、PC等へのログインが不正に行われた場合に防ぐことができないからです。独立したパスワード管理ツールを使用することで、PCを不正に使用され、ブラウザーを起動しても、認証情報を必要とするサービスを使用することはできません。

パスワードが破られたら、被害は自分だけではない

パスワードが破られて自分の管理するデータが盗まれた場合、他者に被害が及ぶ可能性があります。例えば、自分のPCやスマートフォンからアドレス帳が流出した場合、自分の友人等の電話番号やメールアドレスが流出する可能性があります。これを足掛かりにしてその人たちのパスワードが破られる可能性もあります。今回の事件でも、被害を受けた女性芸能人の電話番号やメールアドレスをどうやって入手したのかは今のところ不明です。また、容疑者のスマートフォンには被害者以外の100件以上の有名人の電話番号やメールアドレスが登録されていたという報道もあります。現時点で入手経路は不明ですが、これまで同様の手口で不正アクセスしたところから不正に入手した可能性もあります。自分のパスワードを守ることは、自分と関係のある他者の安全にも関わる可能性があることにも留意してください。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ環境の調査と改善提案
・セキュリティ規程等の策定、改訂
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

5

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

情報セキュリティに関する事故や事件が後を絶ちません。一方で、自社や自組織のセキュリティ対策が、こうした事件や事故に耐えうるレベルなのか、よくわからないと...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
仮想通貨をマイニング(発掘)するウィルスが急増
イメージ

近年、仮想通貨が色々な意味で話題になっています。特に昨年後半から急激に値上がりし、一時は1BTC(ビットコイ...

[ セキュリティ ]

仮想通貨流出事件と対応策

先日、仮想通貨取引所大手のコインチェック株式会社は顧客から預かっていた仮想通貨NEM、約 580億円分(5億2300万X...

[ リスク管理 ]

改元とIT-元号の変更によるITへの影響

先日、皇室会議にて天皇陛下の退位が2019年4月30日、皇太子さまの即位が2019年5月1日と決定されました。これに伴い...

[ リスク管理 ]

情報セキュリティのセルフチェックをしてみませんか。

昨今、情報漏えいやランサムウェア等の情報セキュリティに関する事故、事件が相次いで発生しています。さらに、マ...

[ セキュリティ ]

サイバー空間をめぐる脅威の状況(平成29年上半期)

先日、警察庁より「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公表されました。これに...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ