情報セキュリティ

不正ログイン被害の原因となるパスワードの使い回しはNG

公開日:2016年8月3日

独立行政法人情報処理推進機構
セキュリティセンター

  • 安心相談窓口だより

不正ログイン被害の原因となるパスワードの使い回しはNG
ーちょっとした工夫でパスワードの使い回しを回避ー

2016年8月1日、JPCERTコーディネーションセンターがパスワードリスト攻撃による不正ログイン被害の軽減を目的とした「STOP!!パスワード使い回し!!キャンペーン2016」を開始しました(脚注1)。同キャンペーンは過去にも実施されていますが、最近でもパスワードの使い回しが原因とされるフリーメールへの不正ログインの新たな手口が確認されました(脚注2)。このように不正ログインの相談は常にIPAに寄せられています。

パスワード設定はできる限り長く、複雑にし、絶対に使い回さないことです。IPAの調査(脚注3)では「サービス毎に異なるパスワードを設定している」人は27.3%でした。7割以上の人がパスワードを使い回していることになります。

不正ログイン被害を防止するためにも、以下に示すような工夫を参考に安全なパスワードの作成、管理を行ってください。

  1. (脚注1)
  2. (脚注2)
  3. (脚注3)

使い回しを回避するパスワードの作成方法

ここでは、使い回しを回避するパスワードの作成方法の一つを紹介します。

1. コアパスワードの作成

まず、自分の趣味や興味のあることなどから決めた短いフレーズを基に、任意の変換ルールを適用して、憶えやすく、強度の高いパスワードを作成します。これを全てのパスワードに共通して使用する“コアパスワード”とします。

例えば、「テレビが好き」というフレーズを決めた場合、このフレーズをローマ字に変換します。ヘボン式ローマ字で変換すると、「terebigasuki(12文字)」となり、これだけである程度の長さ(桁数)を確保した憶えやすいパスワードが作成できます。

次に、ローマ字に置き換えた文字列の一部を大文字、記号、数字に置き換えたり、数字や記号を追加したりなど、任意の変換ルールを適用します。

  • 図1:コアパスワード作成の例
    図1:コアパスワード作成の例

例えば、図1の変換ルール1では助詞の「が=ga」を大文字に変換し「GA」としました。また変換ルール2では末尾に「!!」を追加し、更に変換ルール3では好きなスポーツ選手の背番号(ここでは06を想定した)「06」を追加しています。その結果得られた「terebigasuki!!06(16文字)」という文字列で、一定の長さ(桁数)と強度が確保できたため、これをコアパスワードとします。

2. サービス毎に異なるパスワードの作成

次に、サービス名の略称や頭文字、URLの一部などから、サービス毎に任意の短い文字列を決めます。これをサービス毎の識別子として、コアパスワードの前または後に追加します。

  • 図2:識別子をコアパスワードの前に追加した例
    図2:識別子をコアパスワードの前に追加した例

このように、コアパスワードが共通であっても、異なる識別子を追加することで、サービス毎に異なるパスワードが作成でき、パスワードの使い回しを回避することが出来ます。

パスワードの管理方法

前述のように作成したコアパスワードと識別子で構成されるパスワードの管理は、コアパスワードのみを暗記し、サービス毎の識別子は電子ファイルや紙で記録します。コアパスワードと識別子は別々に管理されるため、万が一、識別子を記録した電子ファイルの流出や紙を紛失した場合でも、その情報だけでは悪用できず、サービスへの不正利用などの被害にならずに済みます。

  • 図3:紙に記録してパスワードを管理する方法例
    図3:紙に記録してパスワードを管理する方法例

サービス提供者に求められること

ここまで、利用者におけるパスワード作成、管理の工夫について紹介してきました。一方でサービス提供者にも、利用者が強度のあるパスワードを設定できる配慮が求められます。具体的には、利用者が設定するパスワードに使う文字数や文字種を可能な限り増やすことです。

他にも、万が一の漏えいによってパスワードの不正利用などが発生しないよう、システムへのセキュリティ対策(強化)はもちろんのこと、パスワードをソルト付きハッシュ値(脚注4)として管理することがサービス提供者に求められます。また、二段階認証やリスクベース認証など、複数の本人確認手段を用意し、利用者の認証プロセスを強化するといった対策についても検討、実施することが望まれます 。

(脚注4) ハッシュの元となるデータに、ソルトと呼ばれる利用者毎に異なる値で生成した文字列をつなげてハッシュ化した値。

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

更新履歴

  • 2016年8月3日

    掲載