「123456」から始まる情報漏洩

123456

password

1234

12345678

これはなんでしょうか? とても身近で大切なものです。
本当に大切なものです。

正解は、パスワード。
リトアニアのセキュリティ企業Nord Security社※の調査による「最もよく使われるパスワード」2022年版によると、上から順に日本で使われている上位のパスワードです。
ちなみに、世界で見ても「123456」は不動の1位です。
※世界30カ国で使われたパスワードを集計し、3TBに及ぶデータベースを作成し、調査

ふせんに書かれたパスワード「123456」
覚えられないからパスワードは1つだけ
会社で「あーメモはいらないですよ、簡単なんで。passwordですから」と教えられた……

このようなことを身の回りで見聞きした経験は、少なくないのではないでしょうか。
オープンソースのパスワードマネージャーを提供するBitwarden社が、アメリカ、ドイツ、イギリス、オーストラリア、日本のインターネットユーザー2000人を対象に行った調査によると、多くの人が「脆弱なパスワード」と「パスワードの使い回し」をしているそうです。
また、Nord Security社もBitwarden社も職場での「パスワードシェア」の危険性についても警鐘を鳴らしています。

5人に1人がルール違反

「うちの会社は、情報管理関連のルールを制定しているから問題ない」と思った方がいるかもしれません。
しかし、5人に1人が情報管理関連のルール違反をしているかもしれません。
2021年に独立行政法人情報処理推進機構(以下、IPA)が、全国の中小企業の従業員1,000人に対して行ったアンケートでは、5人1人が情報管理関連のルール違反をしたことがあり、その多くは複数回にわたり違反をしていることがわかりました。
違反の内容をみると、第1位が「パスワードの使い回し」、第2位が「パスワード等の適切なセキュリティ対策を講じずに個人情報をメール含むインターネットに送受信する」というパスワード関連のルール違反が半数を占め、自社が無関係と考えるのは時期尚早かもしれません。

1秒以内に不正ログイン

脆弱なパスワードが1つでもあれば、ハッカーに「パスワードリスト攻撃」をされた時、1秒以内に不正ログインされるといわれています。
そして、パスワードを使い回していれば、芋づる式に他にも侵入され、瞬く間に情報が漏洩していきます。
なお、パスワードリスト攻撃とはサイバー攻撃の一種で、どこかで入手したIDリストとパスワードの組み合わせをさまざまなサイトで試していき、不正ログインをします。

不正ログインされ、個人情報が流出したとなれば、企業はすみやかに個人情報保護委員会に報告する義務があります。そして、被害を被った個人に対してその旨を通知し、通知が困難だった場合には公式サイトなどで発表しなければなりません。また、不正ログインによる被害は個人情報流出だけでなく、機密情報、顧客情流出のおそれがあります。
これらが発生した場合、個人の被害も甚大ですが、企業は多大なリスクを背負うことになります。
そのリスクは主に3点です。

・社会的信用の低下
 社会的信用や企業イメージが低下することは、顧客離れや取引停止、株価下落などの損失、採用したくても人材集まらないことによる人材不足につながるかもしれません。

・刑事、民事で責任を問われる
 刑事罰を受けたり損害賠償を求められたりする可能性があります。その場合、社会的信用の低下だけでなく、多大な損害をこうむることになります。
 
・WEB サイトの改ざんなどの二次被害につながる
WEBサイトの管理者 ID やパスワードが漏洩した場合、WEBサイトの改ざんなどの二次被害を招くおそれがあります。

パスワード管理の重要性は十分理解しているけれど、覚えきれないといった理由でなかなか満足に管理ができない現状。しかし、このままにしておいては失うものが大きすぎます。
適切なパスワード管理や2段階認証などを使うだけで、多くのことが防ぐことができます。

パスワードチェック

まずは、お使いのパスワードに問題がないかチェックをしましょう。
以下がIPAが公開しているチェックリストです。
1つでも当てはまったら、すぐにパスワードを変えてください。

□IDとパスワードが同じである。
□パスワードに、自分の名前、電話番号、誕生日をそのまま使っている。
□パスワードに、「1234」や「1111」、「abcd」などの単純な羅列を使っている。
□パスワードに、辞書にある単語をそのまま使っている。
□さまざまなサービスで、同じパスワードを使用している【SNS、ネットショップなど】。
□他人に一度でもパスワードを教えたことがある。

チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機(https://www.ipa.go.jp/security/chocotto/)

安全なパスワードとは?

同じくIPAが公開している安全なパスワードのチェックリストは以下のとおりです。

□最低でも10文字以上の文字数で構成されている。
□パスワードの中に数字や、「@」、「%」、「”」などの記号も混ぜている。
□パスワード内のアルファベットに大文字と小文字の両方を入れている。
□サービスごとに違うパスワードを設定している。

チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機(https://www.ipa.go.jp/security/chocotto/)

使い回ししないパスワード作成の2ステップ

1.コアパスワードを作る

①趣味や興味があることなどから短いフレーズを決める
②①をもとに、自身で決めた変換ルールを使って、覚えやすく、長くて強度が高いパスワードを作る

さらに可能であれば、①のフレーズは日本語として成立しない(推測できない文章)だとなお良いです。

例えば、短いフレーズを「柴犬は炬燵」とします。
次に、ローマ字変換にして、「shibakenhakotatsu」と17文字になります。
前述した安全なパスワードのチェックリストに基づき、数字・記号やアルファベットの大文字・小文字に組み替えていきます。
「shibakenhakotatsu」
 ↓
「shib@kenh@kot@tsu」(aを@にする)
 ↓
「sh1b@kenh@kot@tsu」(iを1にする)
 ↓
「SH1b@kenh@kot@tsu」(SHを大文字にする)

2.サービスごとにパスワードを作る

コアパスワードが決まれば、サービスごとに短い文字列をコアパスワードの前または後に追加をします。
これをここでは識別ワードと呼びます。
識別ワードは、簡単な設定ルールを決めて作成しましょう。

例えば、サービス名や会社名がアルファベットや数字ならば最初の3文字、それ以外はローマ字変換して最初3文字を使うというルールにし、コアパスワードの前につけます。
ソルナ株式会社であれば、「soluna」⇒「sol」とし、「solSH1b@kenh@kot@tsu」とします。

上記のプロセスをふむことで、数万通りだったパスワードのバリエーションが何万、何億以上の組み合わせとなり強固なパスワードとなります。

パスワードの管理方法

使い回しをしないパスワード作成方法がわかったので、次に管理方法です。
コアパスワードのみを暗記し、サービスごとの識別ワードはテキストファイルや紙に記録します。ちなみに、ポケットタイプの電話帳を使うと、五十音順に各サービスの識別子をメモできるので便利です。
これにより、コアパスワードと識別子を別々に管理することになり、仮に識別子のメモが流出しても不正ログインの被害は防げます。
また、有料とはなりますが、パスワードマネージャーを使う方法もあります。この場合、パスワードを覚える必要がなく、作成・管理ができます。
ちなみに、当社では、独自のパスワードマネージャーを使っています(この先はマニアックな話しとなるので、今回は割愛します)。

パスワードの定期的な更新は不要

利用するサービスによっては、パスワードを定期変更するよう求められますが、実際にパスワードを破られ不正アクセスされたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
むしろ、パスワードを頻繁に変更することで、簡略化したものになったり、使い回しするようになるほうが問題です。
以前は、パスワードの定期変更を推奨されていましたが、2017年にアメリカ国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示され(※1)、日本でも、内閣サイバーセキュリティセンター(NISC)がパスワードを定期変更する必要はなく、流出時に速やかに変更するようにと発信しています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html

サイバー攻撃に対する危機感が薄い日本

冒頭でご紹介したBitwarden社の調査では、日本の特徴としてサイバー攻撃に対する危機感が薄く、世界中で広く普及している2段階認証の利用は職場52%、個人アカウントで72%と、世界の傾向と正反対の結果となったそうです。
これは銀行やクレジットカードなど、個人利用のサイトやアプリでの2段階認証はほぼ強制的に利用することになる一方で、職場や企業でのセキュリティ対策に課題があるといえます。
言葉を選ばずにいえば、職場では「誰かがセキュリティ対策をしている」という他人任せの意識が働き、セキュリティに対して甘くなる実態があるのかもしれません。

例えば、昔から使っているファイルをずっと変えず簡単なパスワードのままにしていませんか?
そのパスワードを知っている方はどれくらいいて、そのうち退職者は何人いますか?
一人でもいた場合……やることは一つです。

パスワード管理のみならず、ネットリテラシーの必要性が今求められています。
当社サービス『ネットの履歴書』は、採用候補者のネットリテラシーについて問題がある投稿などがあればご報告します。また、ネットリテラシー研修も承ります。
ぜひお気軽にご相談ください。

風評被害の教科書 の他の記事