STOP!! パスワード使い回し!!
~そのパスワードを知っているのは、本当にあなただけですか?~
インターネット上のサービスを利用するにあたって必要なアカウント ID とパスワードが「認証情報」です。この認証情報を狙った攻撃が継続しており、認証情報が流出する事件が国内外で報道されています。
複数のインターネットサービスで、同じ認証情報を使い回すことにより、どれか1つのサービスから認証情報が流出した際に、他のサービスに不正にアクセスされ、不正送金などの金銭的被害に遭う恐れがあります。
【 こんなことが起きるかも! 】
こうした被害のリスクを減らすために、認証情報の使い回しや、単純なパスワードを設定しないように注意してください。また、インターネットサービスで提供されているセキュリティ機能を活用し、インターネットサービスを安全に利用しましょう。
■ 認証情報の設定について
- 複数のインターネットサービスで同じパスワードを設定しないようにしましょう
- 推測されやすい単純なパスワードを避け、複雑なパスワードを作りましょう
- インターネットサービスで利用できる全ての文字種 (大小英字、数字、記号) を組み合わせる
- パスワードの文字列は、十分な長さ (8文字以上) にする
- 名前、生年月日、数字などの単純な文字の並びは避ける
一方で、サービスごとに異なる複雑な認証情報の設定により、設定した内容を忘れる可能性があります。
次のような方法を参考に認証情報を適切に管理してください。
- アカウント ID とパスワードを紙にメモして、人目に触れにくい場所で保管する
サービスごとのアカウント ID とパスワードをメモしたリストを作り、紙の状態で保管します。アカウント ID とパスワードを別の紙に分けてメモし、鍵をかけられる場所に別々に保管してください。 - 電子ファイル (パスワード付き)を使用する
アカウント ID とパスワードを「パスワード付きの電子ファイル」にメモして保管します。パスワード付きの電子ファイルは、表計算ソフトやテキスト編集ソフトを使って記録・参照できます。アカウント ID とパスワードとを別の電子ファイルで、パスワードを設定して保存します。パスワード付きのファイルを取り扱えないテキスト編集ソフトの場合には、ファイルを圧縮するソフトウェアを用いてパスワードを設定しましょう。 - パスワード管理ツールを使用する
信頼できるパスワード管理ツールを使用し、アカウント ID とパスワードを保管します。多くのパスワード管理ツールでは、ツール起動時に入力するパスワードだけを覚えておき、各インターネットサービスのアカウント ID とパスワードはツールから呼び出して自動入力します。したがって、利用者はツールを起動するためのパスワードを覚えてさえいればよく、サービスごとに異なる複雑なパスワードを容易に管理できます。
■ インターネットサービスで提供されているセキュリティ機能について
インターネットサービスによっては、不正なログインを防止したり、発見したりするのに役立つセキュリティ機能が提供されています。提供されているセキュリティ機能を積極的に活用して、インターネットサービスを安全に利用しましょう。
- ワンタイムパスワードなどの2段階認証機能を活用しましょう
携帯電話やトークン(ワンタイムパスワード生成機)などを使用したワンタイムパスワードによる認証
ワンタイムパスワードによる2段階認証は、アカウント ID とパスワードに加えて、ログイン時に一定時間だけ有効なパスワードを使用してログインを行う仕組みです。ワンタイムパスワードは毎回変化するため、パスワードが盗まれても再利用できず不正なアクセスを防げます。
- ログインの履歴を確認しましょう
ログイン履歴確認機能、ログインアラート機能
ログイン履歴(過去のログイン日時やアクセス元(IP アドレス、国、地域)など)を確認することにより、不正なアクセスを早期に発見できます。また、通常と異なる時間帯やアクセス元からログインした場合にメール等で通知を受ける設定にすることで、頻繁に利用しないサービスについても異常にいち早く気づくことができます。
■ 不正なログインに気づいたら
- インターネットサービスのヘルプデスクに相談しましょう
- 同じ認証情報を他のサービスで使い回していないかを確認しましょう
- 他のサービスでも不正なログインがないかを確認しましょう
■ 参考文献
IPA (独立行政法人情報処理推進機構)
チョコっとプラスパスワード
http://www.ipa.go.jp/chocotto/pw.html
IPA (独立行政法人情報処理推進機構)
パスワード -もっと強く君を守りたい-
http://www.ipa.go.jp/security/keihatsu/munekyun-pw/
警視庁
IDとパスワードの適切な管理
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/security/cyber412.html