キーボードの写真。キーのひとつにパスワードの表示

パスワードはどこから漏れるのかを、考えてみた。

投稿者:

 

 インターネットを使うにあたって、最も面倒なこは、パスワードの管理ではないでしょうか?

 年代を問わず、ほとんどの皆さんが、パスワードを忘れてしまった(あるいは何にメモしたのか忘れた)経験をしていると思います。。

 最近は、パスワードは忘れてしまっても、登録したメールアドレスさえ覚えていれば、簡単に再設定できるようになっている場合がほとんどですから、以前と比べると便利にはなりました。

 さて、「同じパスワードをあちこちで使い回すのはダメ」ということは、一度は耳にしたことがあると思います。みなさんは、どうされていますか?

 パソコン(スマホ)本体に始まって、メール、ショッピングサイト、SNSにゲームにと、様々なオンラインサービスを使い始めると、40~50くらいはすぐにいってしまいます。

 なので、覚えやすくて簡単なパスワードを全てのサービスで使ってしまうというのは、そのことでどのようなリスクを背負うことになるかを知らなければ、無理もないことだと思います。

 私は、不安を煽るような投稿はあまり好きではありません。でも、ことパスワードについては、見ているこちらが不安になってくるということもありまして、私はどのように考えているのかを含めて、経験談を初心者向けにまとめておくことにします。

 

パスワードを盗まれている人、実は多いのでは?

メッセージのスクリーンショット 私は、SNSを使い始めてそんなに長くはないですが、それでも「これは明らかにアカウントを乗っ取られているな」と気付いたことが何度もあります。

 左のスクリーンショットは、フェイスブックでの一例です。

 本人になりすまして、メッセージをフェイスブックで送ってきました。たまたまこの方は、よく知っている友達でしたので、すぐにご本人に電話で連絡することができました。

 このように、フェイスブックでパスワードを盗用されてしまった方が、私の周りには何人かいるのですが、私のフェイスブック友達の総数から確率を割り出すと、ほぼ150人にひとりとなります。

 この数字には、驚かれる方が多いと思いますが、誇張でもなんでもありません。

 ここで、「SNSのパスワードが盗用されても、生年月日などの個人情報が見られてしまう程度で、経済的な実害はないから気にしない」とお考えの方が、もしいらっしゃいましたら、それは「ちょっと待った!」です。

男性が窓越しに外を眺めている顔にかぶせてSTOPのイラスト 特にフェイスブックは、実名登録でログインしなければ投稿を見ることはできないからこそ、安心して投稿している方も多いはずです。

 私の周囲には、友達限定で普段の投稿をしている人が多いですが、なりすましにあってしまっては、それらが丸見えということになりますから、大迷惑です。

 これがもし、仕事を兼ねて使っているようなアカウントであれば、信用失墜状態です。次に説明しますが、もし、パソコンから情報が抜き取られてパスワードがバレてしまったのなら、そんな相手と業務のやり取りなんかできないですよね?

 

どこからパスワードが漏れたのか?

 さて、いったいどうしてパスワードがバレてしまったのでしょうか?

 たまたま運が悪かっただけ?確かにそういう面もあるかもしれませんが、それだけで片付けてしまうのは、賛成できません。

 そこで、まずは、パスワードがどのように漏れているのか、私の考えを以下にまとめておきます:

 

サービスを提供している側からの漏洩

  今年(2018年)5月に、ツイッター社が全世界のユーザに向けて、「パスワードを変更して下さい」というアナウンスをしたことは、まだ記憶に新しいと思います。

 ツイッターのような会社でさえ、こうしたことが起きてしまうわけですね。でも問題なのは、ネット上でサービスを提供している全ての会社がちゃんと公表しているか、ということのほうだと私は考えています。

 それも、現在の会社だけではなくて、過去についてもです。

 インターネット上でサービスを提供していたけれども、今はなくなってしまったものってたくさんありますよね?誰が作ったか分からないような掲示板とか、私に近い年代の方なら記憶にあると思います。

 「パソコンを使い始めた頃から使っているような古いパスワードは、今すぐ全て変更して下さい」と、お願いしているのは、こうした理由からです。

 フェイスブックでアカウントに侵入されてしまった皆さんに共通することは、インターネット歴が比較的長いということなのです。

 面倒な思いをしたくないがために、10年も前から同じパスワードを多くのオンラインサービスで使い続けていたとなると、運が悪かったとは言えない状態だと、私は考えています。

 

自分のパソコンからの漏洩

トロイの木馬を想わせる写真 これも多いのではないかと、私は考えています。

 自分のパソコンに外部からの侵入を許してしまう原因としては、3つ可能性があるようです。

1) 「トロイの木馬」を取り込んでしまった場合

 ギリシャ神話のトロイの木馬の話は、ご存知の方も多いはずです。ネット上では、画像や動画、ソフトなどに潜んでいて、これをパソコンに取り込んでしまうと、それが外部から侵入するための裏口になってしまいます。

 つまり、これに気がつかないと、自分のパソコンの情報を垂れ流し状態ということになるようです。キーボードに打ち込んだ文字列を拾うようにもできるそうですから、これは怖いです。

2) OSやソフトウェアの更新をしていない場合

 今年の年明けは、パソコンに使われている主要部品に「脆弱性」が見つかったというニュースが大きな話題になりました。

 脆弱性とは、平たく言ってしまえば欠陥です。技術が進歩しているとはいっても、人間が設計して製造しているわけですから、後になって、こんなところに欠陥があったということも出てくるものです。

 もちろん対応策も出てきて、みなさんのパソコンも対応済みのはずです。ただし、公式サポートによる更新をちゃんとしていれば、という条件付きです。「OSの更新は、動作が遅くなるし時間がかかって嫌だ」というイメージをお持ちの方が多いと思いますが、その考え方では、自分のパソコンを守ることはできません(キッパリ)。

※念のためですが、OSの更新とアップグレード(例:Windows 8 →10など)とは、別物です。

 OS以外にも、セキュリティーソフトも同様です。また、ややマニアックになりますが、JavaやFlashをお使いの方も、常に最新版を使うように注意喚起されています。更新を促すメッセージが表示されたら、面倒でもすぐに更新しましょう。

鍵とチェーンの写真3) セキュリティの甘いフリーwifiを使った場合

 最近は、フリーwifiを提供している飲食店などが増えてきて、随分と便利なりましたが、セキュリティーが甘いものが多いようです。パスワード無しでログインできるwifiの場合には、そこで買い物をしたりということは避けておくのが賢明のようです。

自分のパソコン(スマホも同様)を侵入から守るためには、なんといってもセキュリティーソフトを導入すること、これに尽きます

 知らないうちに、トロイの木馬に侵入されたとしても、ちゃんと見つけ出してくれます(というかファイルをダウンロードする際にチェックが入ります)し、危ないwifiに接続すると、「安全ではありません」と警告を出してくれます。

 今時、セキュリティーソフトを使っていない方はまあいないとは思いますが、新種のウイルスなどは、次から次へと新しいものが出ているようですので、OSと同じように更新を怠らないようにしましょう。

 

その他、可能性のあるパスワード漏洩原因

1) 簡単すぎるパスワード

 銀行のキャッシュカードじゃあるまいしと思えるような簡単なパスワードは、これは論外です。銀行のキャッシュカードは、手元にカードがあるからこそ「4桁でもいいか」状態なのです。

 2017年のダメなパスワードトップ100に掲載されているパスワードのリストは、もっと複雑ですので、一度ながめておきましょう。下記で説明する「リスト攻撃」に使われる事が多いパスワードだそうです。

 それにしても、「123456」とか「password」といった簡単なものを使う人が多いんですね!

2) 不用意に処分したパソコン

 これも、結構危ないと思っています。パスワードはパソコンに保存していなくても、メールアドレスが漏れるのも嫌な感じです。

 メーカーによるリサイクルに出すのであれば、まあ大丈夫でしょうが、処分する前にハードディスクは初期化しておくと安心です。詳しくは、『リサイクルに出すソニー VAIOから、ハードディスクを取り外してみた体験談』をご参照下さい。

3) 不用意なメールソフト

 最近は、メールといえばブラウザを使うタイプをお使いの方(ウェブメール)がほとんどのようです。この場合は、セキュリティー対応(https:で通信)しているので大丈夫です。

 ですが、ネット経験が長い方や大きな会社や自治体などにお勤めだった方は、手元のパソコンにメールを受信するタイプのソフト(outlook2013など)をお使いの方が、まだいらっしゃるようです。

 実際、大手のインターネットプロバイダーのウェブサイトには、以下のような説明が今でも掲載されています:

outlook2013設定方法のスクリーンショット

 会社内であれば、セキュリティー対応できているので問題ありませんが、個人でこうしたソフト使う場合には、実際上はセキュリティ対応は難しいものです。この場合も、『暗号化使用時の種類』の欄が、「なし」にするよう説明されています。

 インターネットが広がりはじめた当時は、「電子メールは、はがきのようなもので重要な情報はメールでやりとりしない」というのが常識でした。20年近く経過した現在は、セキュリティ対応にすることが常識になっていますので、ウェブメールに変更しましょう。

 私は、Gmailを使っています。

 

参考:盗まれたパスワードはどう使われているのか?

アクセスログのスクリーンショット

 「リスト攻撃」という言葉を耳にしたことがあるかもしれません。

 集めたパスワードをプログラムを使って次々と試して侵入を試みる攻撃のことです。

 実は、私のウェブサイトも「リスト攻撃に」にあったことがあります。

 一日だけ、アクセスが極端に多い日が見えていると思いますが、これがその痕跡です。ブログサイトの「ログイン画面」に、一日で3万回以上のアクセスがありました。

 私のブログサイトのパスワードは、他のサービスでは使っていませんし、パスワードの桁数が極端に長くなっているので、もちろん侵入はされませんでした。

 でもこうした攻撃を受けるのは、あまり気持ちのよいものではありませんし、サーバーに負担をかけてしまいますので、現在は対策を取っています。

 また、リスト攻撃ではなくても、いたずら的に(?)侵入を試みようとする人はいるもので、今ではちゃんとそれが見えるようになっています。下の表に示されているひとつひとつが、それです。

セキュリティソフトのスクリーンショット ブログサイトに侵入したところで、なんのメリットもないと思われるかも知れませんが、そうではありません。

 フィッシングサイトに変更されたりしては大変ですし、こちらが気付かないうちに、画像にトロイの木馬を仕込まれたりしては、迷惑をまき散らす結果になってしまいます。

 そうなのです。

 リアルの世界には泥棒がいるのように、ネットの世界には、あなたのアカウントに侵入しようとしている人が実はたくさんいるのです。世界中とつながってますからね。

 

まとめ

 実は、この話題は、『ワードプレスを使おう会 in 札幌』で取り上げたことなのですが、参加者の方から、「正しく怖がればいいのですね」という感想をいただきました。

 正しく怖がるって、いい表現だと想います。

 考えてみると、文明の利器を使おうとすると、それを使うために注意しなければならないことって、なにがしか必ずありますよね?

 でも私の年代に近い方々は、学校の教育課程に「情報」があったわけではないですし、親のやり方を見て自然と身につける機会があったワケではありません。仕事など必要に迫られて使わされていた状態で、何に気をつけなければならないかをきちんと学ぶ機会がなかったのではないでしょうか?

 このサイトの役立ちリンク集には、セキュリティ関連でオススメのサイトを掲載していますので、是非とも参考にしてみて下さい。

パスワードの管理には、単語帳を使おう!

 最後になりましたが、たくさんあるパスワードを、みなさんはどのように管理していますか?

一般的な単語帳の写真 私からの提案は、単語帳を使うことです。コンビニでも売られているので、入手も簡単です。

 ノート一冊だと、ちょっともったいないですし、パスワードを変更したときに見にくくなってしまいます。

 最近は、ブラウザーの機能の一部として、あるいは、セキュリティーソフトの機能に、多くのパスワードを管理するものがあるようですので、そうしたものを使う手もあるようです(私は使っていません)。

 私の年代になると、やはり紙が一番安心ですよね、私だけかな?

 あ、それと紙になっていれば、自分自身に何かあったような時も、誰かにアカウントを閉じることを託すこともできますし……

 と、そんなことまで考えるようなっては、もうトシですかね(笑

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中