レンタルサーバーやSSL関係のお役立ちコラム

さくらのホームページ教室

パスワードの管理方法-セキュリティインシデントから身を守るために

あたりまえだけど、パスワードって重要

サイバー犯罪の8割以上はパスワードの漏洩から

サイバー犯罪の8割以上はパスワードの漏洩が起因しているといわれています。
メールアカウントの乗っ取りも、WordPressの乗っ取りも、有名ECサイトやSNSの乗っ取りもその多くがパスワードの漏洩によって起こるケースが多いようです。

パスワードは鍵

パスワードは最も基本的なセキュリティ対策ですが、パスワードを覚えられない、パスワードを作るのが面倒などの理由で軽んじられがちです。

特に世の中の大半のサービスがインターネット上を利用する現在において、朝起きてから寝るまで、とにかくいろんなサービスの利用にパスワードが必要になります。
全部のパスワードを覚えられるわけがない、という所でついつい同じパスワードを使いまわしてしまったり、手癖で覚えてしまっているパスワードで適当に設定してしまったりと、その気持ちはよくわかります。

しかし、パスワードは鍵です。

自分の財産を守る金庫にちゃちな鍵を付ける人はいないですし、家の玄関、金庫、車を同じ鍵で統一する事はあり得ません。
簡易な鍵を車に付けていてはすぐに盗まれてしまうでしょう。

被害者は加害者になり得る

もしある人が自分の車を盗まれてしまった場合、その犯人が交通事故を起こしても、その人は罪を問われません。しかし、もし盗まれた本人が鍵の管理を怠っていた場合、盗まれた車の持ち主が罰せられた例もあります。

だから、自身が加害者にならないように、我々はパスワードの重要性を理解し、管理する責任があります。

パスワード漏洩経路

パスワードの漏洩経路は様々あります。

今回はよくある5つの例を挙げてみましょう。

簡単、あるいは推測しやすい文字列

コンピューターの性能が上がるにつれて、総当たり攻撃や辞書攻撃の効率が上がっています。
そのため、簡単なパスワードや推測しやすい文字列のパスワードを利用していると、簡単にパスワードが割れてしまいます。

簡単な鍵がピッキングの被害に遭いやすいのと同じ理屈です。

・よく使われるパスワードの例
qwerty abc123 picture1 password test1234など

・info@のメールアドレスの場合
info1234 1234info など

使いまわしの文字列

パスワードを使いまわすと、利用するサービス毎にリスクが増えていきます。

例えば、セキュリティが堅牢なサービスAと堅牢ではないサービスBがあった場合、サービスBからの認証情報の漏洩があった場合、サービスAでも同じ認証情報でログインできてしまいます。

つまり、いくら各サービスがセキュリティ対策を行っても、パスワードを使いまわしていると利用しているサービスのセキュリティがすべて、最低ラインの水準に落ちてしまうとも言い換えられます。

フィッシングサイト、フィッシングメール

フィッシングメールから、パスワードが漏洩するケースもあります。
有名ECサイトや銀行の名を騙ったりするものが多いですが、中にはさくらインターネットを騙ったメールもたくさん送信されているようです。

「なりすまし・フィッシングメール」「偽サイト」にご注意ください

フィッシングメールと本物の判断が付かない場合は、各社公式のサポートまで確認する事をお勧めします。

マルウェア

近年、猛威をふるったEMOTETというマルウェアがあります。(現在、2021年1月27日までに EUROPOL でテイクダウン済み)
非常に質の悪いマルウェアで、巧妙な手口でPCに侵入するだけではなく、多くの市販のアンチウイルスソフトでは検知もできないウイルスでした。

EMOTETに限らず、標的型メールなどからトロイの木馬型のウイルスが感染し、パスワードのみならず、銀行口座などの情報も抜き取られる例が多いようです。
現在、マルウェアの90%はこのトロイの木馬型であるという事なので、セキュリティチェックを定期的に行う、怪しいファイルやリンクは開かないなどの注意が必要になります。

その他、気を付けるべき事

公衆Wi-Fi

Wi-Fiにもセキュリティがあり、暗号強度もあります。
未だにWEPなどの古い規格を使っているところもありますが、その気になればものの数分で暗号化した分を解読されてしまったりします。
そのため、そういったネットワークに接続すると、情報がすべて盗まれてしまう可能性があるので、信頼できるところ以外の公衆Wi-Fiは使わないように注意してください。

ショルダーハック

ショルダーハックとは、肩越しに情報を盗んでしまう、要は盗み見です。

空港や不特定多数が出入りできるカフェなどで一仕事、という場合。本当はそのような場所ではPCを開かないのが正解だと思いますが、PCの画面を盗み見られないよう注意しましょう。

権限は最小限に

主に、サーバ管理者向けの情報になりますが、不要なメールアカウントの放置や、FTPの権限を付与したユーザー不必要に発行する事は、ただのリスクの拡大になります。
サーバ内のユーザーや、またその権限は定期的に棚卸をして、必要なユーザー数、適切な権限でサーバ運用を行っていただくと良いと思います。

まとめ

パスワード漏洩の経路についてたくさん書きましたが、根本はシンプルです。
パスワードは家や車のカギと同じくらい大切なものになります。

合いカギを作られたり、ピッキングされたりしないよう、パスワードの管理はしっかり行っていきましょう。

Promotion

執筆

さくらインターネットでカスタマーサポートを担当。 さくらのレンタルサーバのお客様へ、サーバ運用の一助となるような記事を書いていきたいと思います。