ポール神田 × 辻 伸弘　ネットセキュリティ対談 10人に1人がパスワードを「1234」に設定！　その危険性とは？

ネット詐欺が年々、巧妙化の一途を辿っている。無料通話・メッセージアプリ「LINE」のアカウントを乗っ取り、登録されているユーザに「自分の代わりにプリペイドーカードを購入してほしい」などと送信する「LINEのっとり詐欺」も記憶に新しい。また、パスワードの流出や個人情報の漏洩といったニュースも相次いでいる。 詐欺や乗っ取りの被害に遭いやすい、危険なパスワードはどういうものなのか？　自身も詐欺に遭ったことのあるポール神田が、ネットワークセキュリティのエバンジェリストである辻伸弘氏（ソフトバンク・テクノロジー株式会社）に話を聞いた。

神田　ただ、パスワードに対する危機管理は広まっていないのが現状で、アメリカのデータ分析会社「DataGenetics」がクレジットカード340万件を対象に調査したところ、10人に1人は「1234」に設定しているそうです。また「1111」など単純なものや自分の誕生日、メールアドレスに含まれる英単語や数字を流用するケースも多い。やはり簡単に破られてしまうものなのでしょうか？

辻　数字4桁のパスワードだと、1万回試せば必ず当たります。これは「ブルートフォースアタック」「総当り攻撃」と呼ばれる方法で、ツールを使い自動的に行うことが可能。ただ最近は、特定のパスワードを使っているIDを狙う「リバースブルートフォース攻撃」のほうが多いですね。

神田　それはどういうものですか？

辻　「SplashData」が発表した2013年に漏洩したデータを集計した結果、最も使われたパスワードは「123456」で、そのデータの元の１つになったAdobeの漏洩パスワードの集計結果だけでも「123456」は190万件以上もありました。特定のIDに不正ログインしたいケースを除けば、IDひとつひとつのパスワードを破っていくよりも「123456」を使っているIDを見つけ出すほうが手取り早く、効率もよいと考えられます。こういう攻撃のことをリバース攻撃やリバースブルートフォース攻撃と呼ばれます。

神田　つまり、ピンポイントで自分が狙われたわけではなくても、不正ログインされてしまうということですか。

辻　そうです。また、どこかから漏洩したIDとパスワードを使って、他のサイトへのログインを試みる......という不正ログインも増えています。俗に言うリスト型攻撃というものですね。IDとパスワードのリストは売買もされているんですよ。

神田　安全性を高めるためには、複雑なパスワードを考え、サイトごとに異なるものを設定する必要がありますね。ただ、管理が大変そうです。

辻　ソフトを利用するといいでしょう。私はパスワード管理ソフトを使っています。お金がかかるものもありますが、今の時代の必要経費といえるのではないでしょうか。無料のソフトもあるので、自分に合ったものを探してください。ハードルが高いと感じる人は、紙の手帳に書いておくのもいいと思います。ポイントは、パスワードを全て記述しないことです。例えば、最初には「$」、最後には「¥」をつけたことだけ覚えて置き、手帳には「B8s$39」とメモする。実際のパスワードは「$B8s$39¥」なので、もし落としたとしても即悪用されることはありません。手帳紛失のリスクに備え、コピーをとって自宅に保管しておき、なくしてしまったらすぐにパスワードを変更できるようにしておくと万全です。