「123456」から始まる情報漏洩

  • 対策方法
2023.05.31

123456

password

1234

12345678

これはなんでしょうか? とても身近で大切なものです。
本当に大切なものです。

正解は、パスワード。
リトアニアのセキュリティ企業Nord Security社※の調査による「最もよく使われるパスワード」2022年版によると、上から順に日本で使われている上位のパスワードです。
ちなみに、世界で見ても「123456」は不動の1位です。
※世界30カ国で使われたパスワードを集計し、3TBに及ぶデータベースを作成し、調査

ふせんに書かれたパスワード「123456」
覚えられないからパスワードは1つだけ
会社で「あーメモはいらないですよ、簡単なんで。passwordですから」と教えられた……

このようなことを身の回りで見聞きした経験は、少なくないのではないでしょうか。
オープンソースのパスワードマネージャーを提供するBitwarden社が、アメリカ、ドイツ、イギリス、オーストラリア、日本のインターネットユーザー2000人を対象に行った調査によると、多くの人が「脆弱なパスワード」と「パスワードの使い回し」をしているそうです。
また、Nord Security社もBitwarden社も職場での「パスワードシェア」の危険性についても警鐘を鳴らしています。

5人に1人がルール違反

「うちの会社は、情報管理関連のルールを制定しているから問題ない」と思った方がいるかもしれません。
しかし、5人に1人が情報管理関連のルール違反をしているかもしれません。
2021年に独立行政法人情報処理推進機構(以下、IPA)が、全国の中小企業の従業員1,000人に対して行ったアンケートでは、5人1人が情報管理関連のルール違反をしたことがあり、その多くは複数回にわたり違反をしていることがわかりました。
違反の内容をみると、第1位が「パスワードの使い回し」、第2位が「パスワード等の適切なセキュリティ対策を講じずに個人情報をメール含むインターネットに送受信する」というパスワード関連のルール違反が半数を占め、自社が無関係と考えるのは時期尚早かもしれません。

1秒以内に不正ログイン

脆弱なパスワードが1つでもあれば、ハッカーに「パスワードリスト攻撃」をされた時、1秒以内に不正ログインされるといわれています。
そして、パスワードを使い回していれば、芋づる式に他にも侵入され、瞬く間に情報が漏洩していきます。
なお、パスワードリスト攻撃とはサイバー攻撃の一種で、どこかで入手したIDリストとパスワードの組み合わせをさまざまなサイトで試していき、不正ログインをします。

不正ログインされ、個人情報が流出したとなれば、企業はすみやかに個人情報保護委員会に報告する義務があります。そして、被害を被った個人に対してその旨を通知し、通知が困難だった場合には公式サイトなどで発表しなければなりません。また、不正ログインによる被害は個人情報流出だけでなく、機密情報、顧客情流出のおそれがあります。
これらが発生した場合、個人の被害も甚大ですが、企業は多大なリスクを背負うことになります。
そのリスクは主に3点です。

・社会的信用の低下
 社会的信用や企業イメージが低下することは、顧客離れや取引停止、株価下落などの損失、採用したくても人材集まらないことによる人材不足につながるかもしれません。

・刑事、民事で責任を問われる
 刑事罰を受けたり損害賠償を求められたりする可能性があります。その場合、社会的信用の低下だけでなく、多大な損害をこうむることになります。
 
・WEB サイトの改ざんなどの二次被害につながる
WEBサイトの管理者 ID やパスワードが漏洩した場合、WEBサイトの改ざんなどの二次被害を招くおそれがあります。

パスワード管理の重要性は十分理解しているけれど、覚えきれないといった理由でなかなか満足に管理ができない現状。しかし、このままにしておいては失うものが大きすぎます。
適切なパスワード管理や2段階認証などを使うだけで、多くのことが防ぐことができます。

パスワードチェック

まずは、お使いのパスワードに問題がないかチェックをしましょう。
以下がIPAが公開しているチェックリストです。
1つでも当てはまったら、すぐにパスワードを変えてください。

□IDとパスワードが同じである。
□パスワードに、自分の名前、電話番号、誕生日をそのまま使っている。
□パスワードに、「1234」や「1111」、「abcd」などの単純な羅列を使っている。
□パスワードに、辞書にある単語をそのまま使っている。
□さまざまなサービスで、同じパスワードを使用している【SNS、ネットショップなど】。
□他人に一度でもパスワードを教えたことがある。

チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機(https://www.ipa.go.jp/security/chocotto/)

安全なパスワードとは?

同じくIPAが公開している安全なパスワードのチェックリストは以下のとおりです。

□最低でも10文字以上の文字数で構成されている。
□パスワードの中に数字や、「@」、「%」、「”」などの記号も混ぜている。
□パスワード内のアルファベットに大文字と小文字の両方を入れている。
□サービスごとに違うパスワードを設定している。

チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機(https://www.ipa.go.jp/security/chocotto/)

使い回ししないパスワード作成の2ステップ

1.コアパスワードを作る

①趣味や興味があることなどから短いフレーズを決める
②①をもとに、自身で決めた変換ルールを使って、覚えやすく、長くて強度が高いパスワードを作る
さらに可能であれば、①のフレーズは日本語として成立しない(推測できない文章)だとなお良いです。

例えば、短いフレーズを「柴犬は炬燵」とします。
次に、ローマ字変換にして、「shibakenhakotatsu」と17文字になります。
前述した安全なパスワードのチェックリストに基づき、数字・記号やアルファベットの大文字・小文字に組み替えていきます。
「shibakenhakotatsu」
 ↓
「shib@kenh@kot@tsu」(aを@にする)
 ↓
「sh1b@kenh@kot@tsu」(iを1にする)
 ↓
「SH1b@kenh@kot@tsu」(SHを大文字にする)

2.サービスごとにパスワードを作る

コアパスワードが決まれば、サービスごとに短い文字列をコアパスワードの前または後に追加をします。
これをここでは識別ワードと呼びます。
識別ワードは、簡単な設定ルールを決めて作成しましょう。

例えば、サービス名や会社名がアルファベットや数字ならば最初の3文字、それ以外はローマ字変換して最初3文字を使うというルールにし、コアパスワードの前につけます。
ソルナ株式会社であれば、「soluna」⇒「sol」とし、「solSH1b@kenh@kot@tsu」とします。

上記のプロセスをふむことで、数万通りだったパスワードのバリエーションが何万、何億以上の組み合わせとなり強固なパスワードとなります。

パスワードの管理方法

使い回しをしないパスワード作成方法がわかったので、次に管理方法です。
コアパスワードのみを暗記し、サービスごとの識別ワードはテキストファイルや紙に記録します。ちなみに、ポケットタイプの電話帳を使うと、五十音順に各サービスの識別子をメモできるので便利です。
これにより、コアパスワードと識別子を別々に管理することになり、仮に識別子のメモが流出しても不正ログインの被害は防げます。
また、有料とはなりますが、パスワードマネージャーを使う方法もあります。この場合、パスワードを覚える必要がなく、作成・管理ができます。
ちなみに、当社では、独自のパスワードマネージャーを使っています(この先はマニアックな話しとなるので、今回は割愛します)。

パスワードの定期的な更新は不要

利用するサービスによっては、パスワードを定期変更するよう求められますが、実際にパスワードを破られ不正アクセスされたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
むしろ、パスワードを頻繁に変更することで、簡略化したものになったり、使い回しするようになるほうが問題です。
以前は、パスワードの定期変更を推奨されていましたが、2017年にアメリカ国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示され(※1)、日本でも、内閣サイバーセキュリティセンター(NISC)がパスワードを定期変更する必要はなく、流出時に速やかに変更するようにと発信しています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html

サイバー攻撃に対する危機感が薄い日本

冒頭でご紹介したBitwarden社の調査では、日本の特徴としてサイバー攻撃に対する危機感が薄く、世界中で広く普及している2段階認証の利用は職場52%、個人アカウントで72%と、世界の傾向と正反対の結果となったそうです。
これは銀行やクレジットカードなど、個人利用のサイトやアプリでの2段階認証はほぼ強制的に利用することになる一方で、職場や企業でのセキュリティ対策に課題があるといえます。
言葉を選ばずにいえば、職場では「誰かがセキュリティ対策をしている」という他人任せの意識が働き、セキュリティに対して甘くなる実態があるのかもしれません。

例えば、昔から使っているファイルをずっと変えず簡単なパスワードのままにしていませんか?
そのパスワードを知っている方はどれくらいいて、そのうち退職者は何人いますか?
一人でもいた場合……やることは一つです。

パスワード管理のみならず、ネットリテラシーの必要性が今求められています。
当社サービス『ネットの履歴書』は、採用候補者のネットリテラシーについて問題がある投稿などがあればご報告します。また、ネットリテラシー研修も承ります。
ぜひお気軽にご相談ください。

Related article/関連記事
SNSに悪口書く人の心理とは?悪質な投稿への対策法も紹介
2023.09.21
デジタルタトゥーの消し方と未然に防ぐ方法について紹介
2023.09.21
Twitter(X)におけるサジェストとは?企業に及ぼす影響や対策法を紹介
2023.09.21
SNSの危険性と対策法について紹介
2023.09.21

News Article/最新記事

【企業必見】誹謗中傷による損害賠償対策のポイント
この記事では、誹謗中傷に悩む企業の方々へ向けて、損害賠償の基礎知識や法的根拠について解説します。誹謗中傷から企業を守り、適
2023.12.12
記事を読む

Ranking/注目の記事ランキング

Google検索の関連キーワードを削除・非表示にすることは可能なの?
2016.07.21
バカッター炎上事件後に会社が破産した事例
2022.01.27
検索エンジンに表示される検索結果の削除申請・依頼方法
2022.09.26
ネットの誹謗中傷で訴えられた場合の慰謝料の相場は?
2016.07.07
SNSに悪口書く人の心理とは?悪質な投稿への対策法も紹介
2023.09.21
風評被害の教科書 の他の記事
【企業必見】誹謗中傷による損害賠償対策のポイント
2023.12.12
【口コミ対策】誹謗中傷を防ぐ!必読の対処法5選
2023.12.12
【社内メール対策】誹謗中傷を防ぐ!必読のマナーと対処法
2023.12.12
【企業必見】炎上対策とリスク管理の実践ポイント5選
2023.12.12
記事の種類