NHK 解説委員室

解説アーカイブス これまでの解説記事

「パスワード その管理方法大丈夫?」くらし☆解説

三輪 誠司  解説委員

ネットショッピングなどを利用する時に使うパスワードが他人に悪用され、金銭的な被害につながる被害が相次いでいます。このような被害を防ぐために利用者が何を気をつければいいのでしょうか。

k180829_01.jpg

明らかになったのは、NTTドコモの通販サービスで、1台14万円するスマートフォンを勝手に購入される被害がおよそ1000件相次いだという被害です。この通販サービスはドコモの利用者が、IDとパスワードを入力して利用します。スマートフォンを購入すると、商品が届き、代金も請求されます。しかし、今回の被害は、まったくの別人が、この人のIDとパスワードをつかって成り済ましによるログインをし、スマートフォンの購入手続をしたため、代金だけが本人のところに請求されたという被害です。これがおよそ1000件あったということです。

k180829_04.jpg

正しいパスワードが利用されていることもあり、本来の利用者から「購入した覚えがない」という指摘を受けなければ気づけない手口です。

犯人側は、どうしてパスワードを知っているのでしょうか。ドコモは自分の会社から情報が流出したわけではないと説明しています。考えられるのは、他のネットサービスから漏れたパスワードが悪用されたというものです。

犯人側は、SNSや他のショッピングサイトから不正アクセスなどによって流出したIDとパスワードの組み合わせリストを手に入れます。そして、そこに書かれている組み合わせを次々と入力していきます。すると、一定の割合でログインできてしまうんです。というのは、ネット利用者の中には、同じIDとパスワードをさまざまなサイトで使いまわしている人が少なくないからなんです。

パスワードのリストは、犯罪者グループが売りに出しているものもありますが、ネット上に放置されているケースもあります。東京・新宿にある情報セキュリティー会社が調査したところ、50億人分のパスワードのリストが、ネット検索をしただけで見つかったということです。調べる方法がわかれば、誰でも犯罪に悪用できるデータを入手できてしまうのが現状です。

実は、同じような手口と見られる被害が、相次いで明らかになっています。このうち、四国電力は149人分が不正ログインされ、別のサービスに交換できる有料ポイント、あわせて12万円あまりが奪われたことを発表しています。

k180829_07.jpg

こうした被害を受けたとき、ケースによって違いますが、「利用者のパスワード管理が甘かったことが原因で、会社側には落ち度はない」として、保証されないケースがあります。

こうした手口が横行していることを受けて、実は「正しいパスワード管理」をするには何をすればいいのか、以前からの常識が少し変ってきています。以前から言われていたのは、(1)長いパスワードにする。(2)生年月日などはやめて、推測されにくいものにする。(3)数字や記号を混ぜる(4)定期的に変更する、というものです。

(1)と(2)は、パスワードを推測されないために、今でも必要なことです。しかし、今でも「0123456」や、英単語の「password」、また、パソコンのキーボードを左から順に押した「qwerty」などを使っている人が多いという分析結果もあります。いずれも見破られやすいので、すぐに変更して下さい。また、大文字小文字、数字などを組み合わせると、一見複雑になりますが、それを強要した結果、特定の文字だけを数字に置き換えるケースが増加したためです。例えば「Password」を「Pa$$w0rd」など、Sをドル。O(おー)をゼロにするなどです。よく使われる一定のルールがあるので、これも推測されやすいです。

また、定期的な変更を強制すると、末尾だけを変更する人が出てきてしまいます。その結果、ひとつのパスワードがどこかから漏れてしまうと、末尾の数字を10種類変更するとログインできてしまう恐れがあります。こうした設定方法も危険です。

k180829_17.jpg

今最も重要なのは「サイトごとに全く異なるパスワードにする」ということです。文字の長さは、可能ならば22文字以上にすれば大丈夫というのが多くの専門家の見解です。

そうしたパスワードをいくつも覚えるのは無理です。このため「覚えない」という方法も現実的です。

具体的には、パスワード管理ソフトという方法です。

自分の利用しているネットサービスと、そこで使うIDパスワードを一覧にして記録しておくものです。ランダムな文字列のパスワードを自動的に作ってくれる機能もあります。パソコンに最初から入っているものや、ウイルス対策ソフトに付属しているものがあります。

また、アナログ的な手法で、手帳に書くのもいいと思います。手帳をなくしたり、他の人に見られる危険性を心配するならば、パスワードをそのまま記録するのではなく、その何文字目かに決まった文字を入れたのを本物のパスワードとして使うであるとしておくというアイデアもあります。

このように、パスワードを記録しておくのをおすすめするのは、どこに自分の個人情報を登録したか確認できるからです。あまり利用していないネットサービスは、そこから情報が流出する危険性を考えると、退会手続きをしたほうがいいですから、リスト化したほうがいいです。手帳をなくしてパスワードを変更したいこともあると思いますので、コピーを取っておくことをおすすめします。

k180829_21.jpg

また、不正なログインがあると、携帯電話に電子メールが届くサービスも増えていますので、利用するといいと思います。

このようなソフトなどを使うのが、面倒だと思う人もいると思いますが、楽に済ませようとして、簡単なものにしたり、使い回しをしていると、金銭的な被害を被る危険性が極めて高いのが現状です。パスワード管理は基本的に利用者側の責任とされていますので、後悔しないためにも手間をかけるようにした方がいいと思います。

(三輪 誠司 解説委員)

キーワード

関連記事