Home » 社員日記 » パスワード管理のススメ2013
9月
5

ここ数年、「大手サイトに不正アクセス」「○○万件の個人情報流出の疑い」といったニュースを目にする機会が多くなってきたように思います。以前であれば大きなニュースとして捉えられていたのが、ありふれてきたせいか大して話題にならないことも珍しくありません。
実はその中で最近特に増えているのが、あるサイトで流出もしくは不正入手したユーザーIDとパスワードを使って他のサイトに侵入する、という「パスワードリスト攻撃」です。なぜ今増えているのでしょうか?

最も大きな要因は、ネット上で使用するユーザーIDとパスワードの数が増えてきたことと言われています。
トレンドマイクロ社が2012年11月に実施したアンケートによると、パスワードでログインが必要なWebサイトを1人あたり約14箇所利用しているそうです。
そんなに使ってたっけ、と自分でも数えてみたら……14個どころか、その倍近くに達していました。キャンペーン応募用や1回だけショッピングに使用したものなど、頻度は非常に少ないものも含んでいますが。
(プライベート限定で業務使用は含みませんが、それでもこの数でした。)

さて、ユーザーIDについては、自由に付けられるのであれば、他の人が使用済みでない限りは自分と認識しやすい文字列を付けることが多いかと思います。あるいは、登録するためのメールアドレスがそのままユーザーIDとして使用されるサイトも多いです。
一方パスワードは、完全に任意の文字列を自分で作成することになります。しかし、任意だからといって、あのサイトでもこのサイトでも同じパスワードを使っている、という覚えはありませんか?
前述のアンケートの続きで、約7割のユーザーが3種類以下のパスワードを複数のWebサイトで使い回しているとのことでした。……はい、私自身も思いっきり使い回していました。しかも全く同じパスワードを。
ここであるサイトで流出等が発生すると、ある人がどんなユーザーIDとパスワードを使用しているか類推できるため、場合によっては別のサイトにもログインできてしまう、という状況が発生する訳です。

本来、望ましいパスワード管理としては「意味をなさない文字列にする」「サイトごとにパスワードを変える」「見える所に書いておかない」などといういくつかの要素があります。
これらは確かに正解なのですが、これらをまともに組み合わせると「十数個のそれぞれ異なる複雑なパスワードを記憶しておく」という難易度の高いものになってしまいます。
セキュリティを保ちつつこの難易度を下げるとすると……覚えるのが無理なら素直にメモしておくのが現実的な方法だと思います。もちろんその場合、このメモをどう管理するかが新たなポイントとして浮上してきますが。
(PC上でなく)紙にメモして厳重に保管しておくとか、Excelファイルに入力してパスワードを付けておくというのも、セキュリティの面では意味があります。ですが、実際にパスワードを入力する際には非常に不便になってしまいます。

この不便を解消するために、すなわちパスワードを保管しつつ入力時にも簡単に利用できるように、最近ではいろいろなパスワード管理ツールが登場しています。
ではパスワード管理ツールではどのようなことができるのか、自分で実際に使っている「KeePass Password Safe」(以下、KeePass)を例にとってご紹介いたします。
……なお、詳しい使い方については、紹介しているサイトが多数ありますのでここでは割愛いたします。また、この他にも有料・無料で様々なツールがありますので、自分に合ったものを探してみることをお勧めします。


KeePassを起動して、ユーザーIDとパスワードの組み合わせ(エントリー)を登録しておけば、ログイン画面で簡単なキー操作で自動入力してくれます。
パスワードの登録時など自動入力が使えない場合は、右クリックでパスワードをクリップボードにコピーしてくれる機能がありますので、後は貼り付けるだけで入力完了です。なお、関係ない所にパスワードを貼り付けないように十数秒でクリップボードをクリアする機能もあります。


「タイトル」にウィンドウタイトルの一部を登録しておけば、自動入力の際には該当するエントリーを自動的に選んでくれます。
パスワードは表示・非表示が選べますので、簡単なものでないかちゃんと目視して登録ができます。また、このパスワードを自動で生成できるような機能が次の画面です。


パスワードには意外とサイトごとのルールがあります。「○○文字以上○○文字以下」とか、数字とアルファベットの大文字・小文字を必ず混ぜろとか、記号類が使用可能または不可とか……。
条件を指定すればこれらのルールに沿ったランダムなパスワードを生成することができます。また、このルールのパターン自体も登録して再利用することができます。


すべてのパスワード情報にアクセスできるマスターパスワードは最も重要です(ただし管理するのはこれ一つだけで済みます)。KeePassではさらに、認証用のキーファイルやWindowsユーザーと組み合わせて厳重に管理することもできます。


ここまでは「ユーザーIDとパスワード」の自動入力でしたが、サイトによってはログイン時に「ユーザーIDとメールアドレスとパスワード」が必要になるなど、異なるパターンもあります。
実は自動入力は「ユーザーIDを入力⇒TABキーで移動⇒パスワードを入力⇒Enterキーでログイン」というキー操作をデフォルトでは行っています。この手順は変更が可能で、また入力項目を増やすこともできるので、キー入力で行える操作であれば自動入力に対応させることができます。

実は、最近の新たな傾向として、Yahoo!やGoogleなどが取り入れている「2段階認証(もしくは2要素認証)」というものがあります。
これは、通常のユーザーIDとパスワードのほかに、別途登録済みの携帯電話やスマートフォンを認証方法として使うものです。一番多いのは、携帯端末でワンタイムパスワードと呼ばれる時間限定(数十秒から数分程度)の文字列を入手して、PC側でそれを入力させるという方法です。
仮にパスワードが流出したりPCごと盗まれたりしたとしても、ログインの際には携帯端末が必須となるので、一緒に紛失したりしない限りは勝手にログインされることはない訳です。
話を戻しますと、パスワード管理ツールではワンタイムパスワードに直接対応することはできません。……時間限定のパスワードと銘打っている以上、事前に登録しておくことができないのはある意味当たり前なのですが。
ですが、前述のキー割り当てを利用すればある程度入力は支援できます。ユーザーIDとパスワードだけ自動入力し、ログインボタンは押さずにワンタイムパスワードの入力欄を選択した状態で止めておけば、後はワンタイムパスワードを入力してEnterキー、で事足りる訳です。

さて、2段階認証の話も含めて、セキュリティに関する常識は、時代とともにどんどん変わっています。

例えば、パスワードを忘れてしまった場合の復旧方法として、よく「秘密の質問に答える」という方式がありました。
しかし、「秘密の質問」と銘打っておきながら実際には「母親の旧姓」「通っていた小学校の名前」など、推測可能だったり公開していたりする内容が目立ちます。しかも質問自体の選択肢が限られていることも多く、不正アクセスの温床になりやすいとも言われており、なるべく設定しない方がいいとも言われています。
(秘密の質問が「ペットの名前」でありながら、SNS等で堂々と言っている事例も多いそうです。)
また、2段階認証でも携帯端末を紛失した際にログイン不可となるのを防ぐよう、復旧の手順があります。万一の場合に備えて当然必要な機能ですし、ある程度面倒な手順を踏まないと復旧できないように対策は取られているはずですが、これも場合によっては不正アクセスの抜け道になりえます。

その他に「パスワードは定期的に変更すべき」という一般的なルールについても、あまり意味はないという意見があります。
住所や氏名などの個人情報は不正侵入の時点で漏洩している可能性が高く、またクレジット番号などを利用した金銭搾取も短期間で行われることが多いそうですので、変更の合間で不正侵入が発生したら変更しても手遅れになります。
一方で、例えばメール盗聴など長期的な侵入であれば確かにパスワードを変更すればそれ以上の漏洩は防げます。……ですが、侵入に気付いて変更したならまだしも、たまたま定期的な変更で防げたのだとしたら、そもそも漏洩自体に気付いていなかった、もしくは変更した時点でも気付いていないという潜在的な問題が発生していることになります。
少なくとも簡単なパスワードや使い回しのパスワードのレベルで定期的に変更するよりは、最初から複雑なパスワードをセットして侵入事態に備える方が望ましい、と言われています。

極論かもしれませんが、パスワード自体が時代遅れという言説もあります。もっともパスワードに変わる認証がまだまだ確立していないのが現状ではあります。
指紋認証に代表される生体認証が挙げられるかもしれませんが、たいていは読み取るのに専用の機器が必要であり、一部のPC用キーボードに指紋認証が搭載されている以外はほとんど一般家庭では見受けられません。万一生体情報が流出もしくは偽装された場合に変更が困難というリスクもあります。
(パスワードを変更するのと同じように指紋を変更するなんてできませんからね……)

結局、現段階ではパスワードを駆逐するようなセキュリティ対策はまだ見当たらず、そもそもWebサイトなどのサービス提供側がパスワード方式を取っている以上、これらのリスクを念頭に置いてパスワードを使用するしかないようです。
そんな中でも、パスワードも正しく運用すれば、少なくとも今は最善のセキュリティ対策になりうると思って、今回の記事にまとめました。

とはいえ、タイトルに「2013」と付けたように、あくまで「今」の話です。来年にはこの情報も古くなっているのかもしれません。
それが、パスワード破りが常態化して完全に役に立たない存在になってしまうからなのか、パスワードを超える認証方式が登場・普及するからなのか……できれば後者であってほしいと願うばかりです。

セキュアMAX

参考サイト:

<Webサイトのパスワード利用実態調査>
http://jp.trendmicro.com/jp/about/news/pr/article/20121213002352.html

<パスワードでセキュリティを確保する時代の終焉が近いのでしょうか>
http://bylines.news.yahoo.co.jp/yamamotoichiro/20130809-00027141/

<パスワードクライシス>
http://www.itmedia.co.jp/enterprise/articles/1308/09/news033.html

<パスワードの定期的変更について徳丸さんに聞いてみた>
http://blog.tokumaru.org/2013/08/1.html

<パスワードの定期変更という“不自然なルール”>
http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html

« « 花と蝶 青池 » »