このページではJavaScriptを使用しています。
2021.05.23
IT関連の注意喚起

ちょっと待って!そのパスワード、使い回していませんか??

今回は、楽だからと意外とやってしまうパスワードの使い回しの危険性についてお伝えします。

 

 

◆パスワードの使い回しとは?

WebサイトやSNS、クラウドサービスなど特定のサービス利用時に入力を求められるパスワードを単一のパスワードで使い続けることです。
複数のパスワード管理が面倒といった理由やパスワードを覚えられずにログインできないといった事態を回避するために、パスワードの使い回しが行われています。

犯罪者の多くはパスワード設定の甘さを突いてアカウント情報のハッキングを行い、入手したアカウント情報を用いてサイバー攻撃や情報盗取を行っています。生年月日や名前を活用したパスワードや文字数が少ないパスワードはパスワードを解読されるリスクが高まりますので止めましょう

 

 

 

◆パスワードが流出した際の3つのリスク

①個人情報の窃取

パスワードのハッキングが行われると、氏名、住所、口座番号、クレジットカード情報などあらゆる個人情報を盗取されます。
犯罪者は他のWebサイトやクラウドサービスでのアクセスを試み、ユーザーのアカウント情報を集めるからです。

 

 

②企業の情報資産流出

業務で使用していたクラウドサービスやWebサイトからパスワードがハッキングされると、社内ネットワークに侵入されての情報盗取やシステムダウンを狙ったサイバー攻撃に被害を受けるリスクが上がります。
企業の情報漏洩による被害の多くもパスワード管理の甘さが原因で情報漏洩につながっています。

一度でも情報漏洩が起きると周囲からセキュリティ対策や機密情報の保護に関して不安視されるため、取引先や消費者からの信用を失います。

また、サプライチェーン攻撃に代表されるように大企業だけでなく、近年は中小企業もターゲットになることが増えています。
セキュリティツールの導入や人員配置によって年々セキュリティ対策を強化する大企業をいきなり攻撃するよりも、中小企業を経由して社内ネットワークに侵入した方が遥かに情報盗取に成功する確率が高いと考えているからです。

自社のセキュリティ対策に不備があり、顧客情報の流出や取引先のシステムに侵入を許した場合は、取引量減少・取引停止などの対応を迫られます。場合によっては多額の賠償金を求められる場合もあり、今後のビジネスが大変苦しくなります。
情報漏洩やセキュリティ分野に関しての教育の徹底、自社のセキュリティ環境の見直しなどを継続して行う必要があります。

 

 

 

③サイバー攻撃による業務停滞

サイバー攻撃によって受ける被害は情報盗取だけではありません。
システムの稼働停止やPCが操作不能な状態に追い込まれる場合があります。

システムダウンが起きると業務の停滞につながり、ビジネス機会の損失や取引先への影響、社員の業務負担増大などに影響します。
一方、操作不能となったPCは犯罪者に遠隔操作され、サイバー攻撃や犯罪行為に悪用されるリスクが高まります
パスワードのハッキングによって懸念されるサイバー攻撃はパスワードリスト型攻撃、ブルートフォース攻撃、DDoS攻撃などが挙げられます。

 

 

■パスワードリスト型攻撃

アカウント情報をハッキングし、複数のWebサイトやクラウドサービスへの不正ログインを試みる攻撃です。主に情報資産や個人情報の盗取を狙う攻撃に利用され、発生頻度の多いサイバー攻撃です。
2020年においてはJR九州、任天堂、エムアイカードなどが被害を受けています。

 

 

■ブルートフォース攻撃

パスワードを解読するために推測できる文字列を全て試していく攻撃です。PCがデータ処理を行うため、解読しやすいパスワードを設定していた場合は簡単に見破られます。
対策としては文字数が長く、アルファベットや記号、数字を織り交ぜた規則性を感じさせない複雑なパスワードを設定することです。

 

 

■DDos攻撃

複数のPCを活用してターゲット対象のWebサイトやサーバーに多大な負荷をかけることです。アカウント情報が流出したPCは犯罪者から乗っ取られ、操作不能な状態に陥ります。
不特定多数のPCから攻撃を行うため発信源を掴みにくいのと通常のアクセスと見分けがつかない点が特徴で、企業にとっては非常に厄介な攻撃です。

過去にはソニー、Amazon、Netflixなどが被害を受けています。

 

 

 

◆パスワード流出への対策とは??

■多要素認証の活用

多要素認証により特定のサービスの利用時にID/パスワード入力だけでなく、生体認証やワンタイムパスワードの入力を求めるよう設定することです。
顔認証や指紋認証といったコピーや偽造が難しい個人情報の活用やその場限りでのパスワード入力を求めることで、精度の高い本人認証を実現します。

 

 

■IDaaSの活用

IDaaS(Identity as a Service)は、クラウド上でID認証を行うセキュリティツールです。
ID管理だけでなく、シングルサインオンや多要素認証、アクセス管理など安全性と利便性を兼備した多様な機能を搭載しています。
専用のUSBやカードキーを用いた認証やアプリを活用した生体認証など、パスワードレスを強化しているベンダーも増えてきており、不正アクセスやサイバー攻撃に遭うリスクを軽減できます。

 

 

 

■パスワードマネージャーの活用

パスワードマネージャーは、複数のクラウドサービスやアプリで使用するためのパスワードを管理するためのセキュリティツールです。
パスワードマネージャーを確認すれば、個々のサービスごとに管理されたID/パスワードをすぐに確認できるので、メモ帳やデバイス機器内での個別管理を行う必要はありません。

また、犯罪者から解読されにくいパスワードを自動生成する機能やアカウント情報の監視を行う機能も搭載しているので、情報漏洩のリスク軽減と流出した場合の被害を最小限に抑えることが可能です。
IDaaSが企業向けのセキュリティツールであるのに対し、パスワードマネージャーは個人向けのツールです。
普段の生活でインターネットバンキングやオンラインショッピングの利用頻度が高い方に、検討価値のあるセキュリティツールだと言えます。

 

 

◆まとめ

パスワードの流出は先述の対策を全て講じたとしても100%の安全性は確保できないと言われている程ですので、セキュリティ機器やウィルス対策ソフトだけで防げるものではありません。

まずは単一のパスワードを複数のサイトやサービスで使い回さないようにするという意識を持つことから始め、徐々にセキュリティレベルを引き上げていきましょう。