おはようございます。情報セキュリティ相談センターです。
「asdfghjkl」って、何の羅列だと思いますか?「1q2w3e」は?「1qaz2wsx」は?
一見なんの法則性もない適当な英数字の羅列ですが、入力してみれば「あっ」となるんじゃないでしょうか。
…気が付きましたか?
「asdfghjkl」はキーボードの真ん中の列を左から順番に並べたもの、「1q2w3e」は右上から2段づつ3列並べたもの、「1qaz2wsx」は右上から下に順番に2列並べたものです。パソコンで入力すればすぐに気が付きますよね。
情報通信企業「Nordpass」が発表した、よく使われるパスワードランキング2020年版に、上に挙げました3つの羅列がランクインしています。
わたしたちは1日に何回パスワードを求められるでしょうか。このサイトあのサイト、あのアカウントにこのアカウント、1日何十回とパスワードを求められますよね。パスワードをかけることは、セキュリティにおける当たり前の第一歩です。
しかし、それが当たり前になりすぎていませんか?難解なパスワードを覚えるのは面倒くさいし、それぞれ別のパスワードを使ったら覚えきれないし、結局いつも使うわかりやすいパスワードで統一していませんか?
本日はそんな、当たり前になりすぎておろそかになりがちなパスワードのお話です。
ごく当たり前のセキュリティ
冒頭でも挙げましたが、パスワードをかけることはセキュリティを守る「当たり前」の行動です。
利用している通販サイトにパスワードをかけて、登録してあるクレジットカードを第三者に使われないようにする、といったごく当たり前のことです。
つまり、誰かに知られてはいけないし、推測できるものでもいけません。銀行やクレジットカードで使われる4桁の暗証番号を登録するとき、「1111」や「1010」といったぞろ目や連続した羅列、あるいは誕生日といった簡単に推測できる数字は禁止されています。どんなサイトであろうと、それは同じことで、ごく当たり前のことです。
Nordpassのパスワードランキングでは、1位に「123456」、4位に「password」、6位に「111111」がランクインしています。読んでくださっている方の中にも、これらのパスワードを使ってる人がいるんじゃないでしょうか?
危険だとわかっていても、それでも「覚えやすくわかりやすい」ことを優先してしまう人が多くいます。
不正ログインの手口はいろいろありますが、中でも有名なのはやはり「ブルートフォースアタック」です。総当たり攻撃ともいわれ、言葉の通り考えられるパスワードを総当たり的に試していく方式です。
また、パスワードに利用されがちな単語を体系化したデータベースを利用する「辞書攻撃」もよく使われる手段です。対象が明確であれば、誕生日や電話番号などからさらに絞り込むことが可能です。
では、みなさんが不正ログインをする側にたったとして、半角英数字のパスワードをなにかしら入れるとしたらなにを入れますか?やはりぱっと思いつくのは「111111」や「password」じゃないでしょうか。どちらにしても、すぐに暴くことができてしまうパスワードです。
ブルートフォースアタックは、まず「aaa」を入力し、ダメなら「aab」、「aac」、「aad」というように、少しづつずらして入力する方式ですから、「1」のぞろ目なんてものの数分でログインされてしまいます。
辞書攻撃でも、辞書を開かずともまず「password」と入れてみたら一発でログインできてしまうかもしれません。そうでなくとも、好きなもの、例えば「apple」や「basket」といった単語から、ログインできるかもしれません。
これらの方法は途方もない作業のように思えますが、理論上はいつかパスワードに行きつきます。途方もなくなって諦めざるを得なくなるくらい、複雑で難解なパスワードでなければいけません。
他にも、別のサイトで使用していたパスワードを入手し、目的のサイトで試す、といった方法もあります。だって、アプリ、サイト、アカウントごとにパスワードを変えている人が何人いますか?アプリもサイトもアカウントも、ことあるごとにログインを求められる時代です。全部なんてとてもじゃないけど覚えてられないですよね。
ごく当たり前のセキュリティを、ごく当たり前に機能させるには、「推測されにくい複雑な羅列」かつ「複数アカウントで同じパスワードを使わない」ことが重要になってきます。
理想と現実の現状
とはいえ、複雑な羅列を何種類もIDやアカウント名と紐づけて覚えることは簡単なことではありません。それで忘れてしまってログインできなくなったら元も子もないですからね。
Windowsは、8文字以上かつ大文字小文字数字記号の4種類をすべて含み、名前やユーザー名、一般的な単語を含まない、の条件を満たしたものを強力なパスワードの基準としています。
そんなパスワードを何種類も管理するなんて無理な話です。しかし不正ログインは怖い…。
どこかにメモしておけば確かに管理することは可能です。しかしそのメモはどうやって管理しますか?
そのメモを失くしたら、ログインできなくなるうえに全てのパスワードが漏洩してしまったことになります。管理ツールを使っても、じゃあ管理ツールのパスワードはどこで管理しますか?
たとえセキュリティのためとはいえ、求められているものに少し現実味がないですよね。
そうなるとやはり、覚えやすくてある程度統一されたパスワードを使わざるを得なくなり、しかしセキュリティ面で不安が残る…堂々巡りです。
パスワードは当たり前のセキュリティですが、現状、あくまで最低限なものになってしまっているのです。
入力しないパスワード
では、どうやってセキュリティを高めていけばいいのでしょうか。
ようは本人であることが証明できればいいわけです。実は身近にある人も結構いるのではないでしょうか?
iPhoneはSE(第2世代)、iPhone8から指紋認証を、iPhone10から顔認証を搭載しました。それぞれTouch ID、Face IDと呼ばれているものですね。
情報が資産となる現代において、パスワードの管理不備及び漏洩は大きな影響を及ぼしかねません。
そんな中、米マイクロソフトはアウトルックやチームズといった自社アプリで、顔認証などの生体認証を標準としました。
指紋や顔、あるいは声紋、虹彩を利用した認証方法をバイオメトリクス認証と言います。
生体認証であれば、脅威である「パスワードが外部に漏れる」おそれを、そもそも根本からなくすことが可能になります。
増え続けるサイバー攻撃、不正アクセスに、パスワードではもう限界が来ています。
パスワードが漏れることで流出した情報はなかったことにはできませんし、信用も失います。在宅勤務も増え、働き方が変わっていくまさにその過渡期にいます。情報の管理には、一番に気を使わなければいけません。
セキュリティは、企業を支える大きな柱の一つになっているのです。
マイクロソフトの生体認証化を皮切りに、多くの企業が脱パスワードを考えていかなければいけなくなっています。
本日のまとめ
バイオメトリクス認証がすべて優れているというわけではありません。まだまだ精度が低いものもありますし、不便な時もあります。それこそコロナ禍でのFace IDとか、ちょっと面倒くさいですよね。マスクだと反応しなくて。
しかし、その精度はどんどん上がっています。きっと、マスクにもすぐに対応するでしょう。
実際にiPhoneでは、パスワード入力などもバイオメトリクス認証でスキップできるようになりました。
「脱パスワード」は、気が付かないところで進んでいるのです。
好きな映画に、問題を解決するために敵組織のシステムに入らなければいけなくなるシーンがあります。その時主人公は、どこでシステムに入るためのパスワードを入手したと思いますか?
……敵組織のボスが座っていた椅子の手元です。手元に、メモを残していました。パスワードの意味がまるでありませんよね。
そんなことにならないように。パスワードの管理は適切に!そして脱パスワードへ。
<参考サイト>