この記事は、サイバーセキュリティ基礎講座の第4回です。
前回は、【第3回】ランサムウェアとは何か|データが使えなくなる仕組みと防御の基本をわかりやすく解説で、データや業務を止める攻撃の仕組みを整理しました。
今回は、ほとんどの人に関係するパスワードを扱います。
パスワードは大切な鍵ですが、使い回し、漏洩、フィッシングによって破られることがあります。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「パスワードは長くしているから私は大丈夫。」
そう思っていても、少し不安になることはありませんか?
「同じパスワードを使い回していないか?」
「昔作ったアカウントに弱いパスワードが残っていないか?」
「どこかのサービスから漏れていないか?」
「偽サイトに入力してしまうことはないか?」
パスワードは、現代のデジタル生活で最も身近な鍵です。
- メール
- SNS
- 銀行
- 通販
- クラウド
- スマホ
- 会社のアカウント
こうしたものを守る入口にあります。
ですが、パスワードは「知っている人だけが入れる仕組み」であるため、盗まれたり、推測されたり、使い回されたりすると一気に弱くなります。
CISAは、強いパスワードについて、長く、ランダムで、サービスごとに異なるものを使うことを推奨しています。
さらに、パスワードマネージャーの利用も紹介しています。(CISA)
今回は、「パスワードはなぜ破られるのか」を見ていきます。
「なぜ同じパスワードを使い回すと危険なのか?」
「短いパスワードは、なぜ破られやすいのか?」
「漏れたパスワードは、どのように悪用されるのか?」
「あなたは今日から、どんなパスワード管理をすればよいのか?」
攻撃の具体的な手順ではなく、被害を減らすための考え方と実践を整理していきます。
第1章 パスワードは「鍵」だが、万能ではない
パスワードは、デジタル空間の鍵です。
「正しいパスワードを知っている人だけが、アカウントに入れる。」
これが基本の仕組みです。
ただし、現実の鍵と違うところがあります。
現実の鍵は、誰かに見せなければ複製されにくいものです。
一方で、パスワードは文字列です。
- 見られる
- 盗まれる
- コピーされる
- 漏れる
- 推測される
- 別のサービスで試される
こうしたことが起きます。
つまり、パスワードは大切な鍵である一方で、扱い方を間違えると非常に弱くなります。
パスワードは鍵である
→ただし、文字列なので盗まれやすい
一度漏れるとコピーされる
→使い回すと被害が広がる
そのため、管理の仕組みが重要
NISTのデジタルアイデンティティガイドラインでは、パスワードを「memorized secret」、つまり利用者が記憶して入力する秘密情報として扱っています。
パスワードは認証要素のひとつですが、それだけに頼ると弱点が残るということです。(NIST Pages)
パスワードは必要ですが、パスワードだけで安全を守る時代ではなくなっています。
ここを最初に押さえることが大切なのです。
第2章 パスワードはどう破られるのか
パスワードが破られると聞くと、ものすごく高度な技術で暗号を解くような場面を想像するかもしれません。
もちろん、技術的な攻撃もあります。
しかし、多くの場合、もっと身近な弱点が狙われます。
代表的な理由は、次のようなものです。
- 短すぎる
- 推測されやすい
- 使い回している
- 過去に漏れている
- 偽サイトに入力してしまう
- メモや共有で見られてしまう
- 端末やブラウザに保存した情報が悪用される
たとえば、誕生日、名前、電話番号、好きな言葉、単純な数字の並びは、推測されやすいことがあります。
一方で、本当に怖いのは、使い回しです。
あるサービスからパスワードが漏れたとします。
そのパスワードを、メール、SNS、通販、銀行関連サービスでも使っていたらどうなるでしょうか?
ひとつの漏洩が、複数のアカウントに広がります。
これは、家の鍵、車の鍵、会社の鍵、金庫の鍵を、すべて同じ鍵にしているようなものです。
一つ失うと、すべてが危険になります。
パスワードは、破られるというより、すでに漏れたものを別の場所で試されることも多いのです。
第3章 使い回しが危険な理由
パスワードの使い回しは、最も身近で、最も大きなリスクのひとつです。
なぜなら、あなたが注意していても、使っているサービス側で情報漏洩が起きる可能性があるからです。
- 大きなサービス
- 小さな通販サイト
- 昔登録した掲示板
- 使わなくなったアプリ
- 海外のサービス
- キャンペーン用サイト
どこかから、メールアドレスとパスワードの組み合わせが漏れることがあります。
そこで攻撃者が狙うのは、漏れたサービスだけではありません。
同じ組み合わせを、別のサービスでも試します。
あるサービスから漏れる
↓
メールアドレスとパスワードが知られる
↓
別のサービスで同じ組み合わせが試される
↓
ログインできるとアカウントが乗っ取られる
↓
そこから情報やお金や信用に被害が広がる
これを防ぐ一番の基本は、サービスごとに違うパスワードを使うことです。
- メールはメール専用
- SNSはSNS専用
- 通販は通販専用
- 銀行関連は銀行関連専用。
- クラウドはクラウド専用
ただし、すべてを頭で覚えるのは現実的ではありません。
そのため、パスワードマネージャーを使うという考え方が出てきます。
CISAも、長く、ランダムで、サービスごとに異なるパスワードを使うために、パスワードマネージャーを利用できると説明しています。(CISA)
パスワードを覚える努力だけで守るのではなく、仕組みで守る。
これが、現実的な対策だと思います。
第4章 短いパスワードはなぜ弱いのか
短いパスワードは、候補が少なくなります。
候補が少ないということは、試されやすいということです。
たとえば、数字だけの短いパスワードは、組み合わせの数が限られます。
英小文字だけの短いパスワードも、候補が限られます。
一方で、長いパスワードは候補が増えます。
つまり、推測や総当たりに対して強くなります。
ここで大切なのは、「複雑さ」だけではなく「長さ」です。
たとえば、読みにくい短い文字列より、十分に長いランダムな文字列の方が強い場合があります。
- 短いパスワード
- 候補が少なく、試されやすい
- 推測しやすいパスワード
- 名前や誕生日などから当てられやすい
- 長いパスワード
- 候補が増え、破られにくくなる
- ランダムなパスワード
- 規則性が少なく、推測されにくい
NISTのSP 800-63Bでは、利用者が選ぶパスワードについて最低文字数や、漏洩済み・推測されやすい値を避けることなどが扱われています。
また、過度な複雑性ルールよりも、漏洩済みパスワードのチェックや使いやすさとのバランスが重要視されています。(NIST Pages)
つまり、パスワードはたとえ記号を混ぜても、短く、使い回し、推測されやすいなら危険です。
長く、ランダムで、サービスごとに変える。
これが大切なのです。
第5章 フィッシングで盗まれるパスワード
パスワードは、技術的に破られるだけではありません。
あなた自身が入力してしまうことで盗まれることがあります。
これが、フィッシングとのつながりです。
前回までに扱ったように、フィッシング詐欺は実在する企業やサービスを装い、偽サイトへ誘導します。
そこでログイン情報を入力すると、IDとパスワードが攻撃者に渡ってしまいます。
本物らしいメールやSMSが届く
↓
リンクを押す
↓
本物そっくりの偽サイトが開く
↓
IDとパスワードを入力する
↓
攻撃者に情報が渡る
↓
本物のサービスで不正ログインされる
ここで重要なのは、パスワードがどれだけ強くても、偽サイトに入力すれば盗まれるということです。
- 長いパスワードでも
- 複雑なパスワードでも
- サービスごとに違うパスワードでも
偽サイトに入力すれば、そのサービスのパスワードは知られてしまいます。
そのため、パスワード対策は、パスワードそのものだけでは足りません。
- 公式アプリから開く
- ブックマークから開く
- メールやSMSのリンクからログインしない
- 多要素認証を設定する
- 怪しい通知が来たら一度止まる
こうした行動も必要です。
パスワードを守ることは、入力する場所を守ることでもあるのです。
第6章 多要素認証はなぜ重要なのか
パスワードが漏れても、すぐに入られないようにする仕組みがあります。
それが、多要素認証です。
多要素認証とは、パスワード以外の確認を追加する仕組みです。
たとえば、次のようなものがあります。
- 認証アプリのコード
- スマホへの通知
- 指紋や顔認証
- セキュリティキー
- パスキー
- SMSコード
多要素認証を使うと、パスワードだけを知っていてもログインしにくくなります。
CISAは、多要素認証について、ユーザー名とパスワードだけよりもアカウントを保護しやすくすると説明しています。(CISA)
ただし、多要素認証も万能ではありません。
- 偽サイトで認証コードまで入力させようとする手口がある
- スマホ通知を何度も送り、うっかり承認させようとする手口もある
- SMSは電話番号の乗っ取りや転送などのリスクもある
そのため、できるならフィッシングに強い認証方法を選ぶことが大切です。
たとえば、パスキーやセキュリティキーのように、偽サイトでは使いにくい方式は、より強い防御になります。
とはいえ、何もないよりは、多要素認証を設定する方が被害を減らしやすくなります。
パスワードを一枚の扉とするなら、多要素認証はもう一つの扉です。
パスワードだけに頼らないことが、現代の基本なのです。
第7章 パスワード管理は「記憶力」ではなく「仕組み」で考える
「全部違うパスワードにしましょう」
そう言われても、難しいと思われるかもしれません。
- メール
- SNS
- 通販
- 銀行
- クラウド
- 動画サービス
- 仕事用システム
- 学校や自治体のサービス
これらすべてに長くランダムなパスワードを設定し、頭で覚えるのは無理があります。
そのため、パスワード管理は、記憶力で頑張るものではありません。
仕組みで守るものです。
代表的な選択肢が、パスワードマネージャーです。
パスワードマネージャーは、サービスごとに異なる長いパスワードを作り、保存し、必要なときに入力を助けてくれます。
- 長くランダムなパスワードを作れる
- サービスごとに違うパスワードを使える
- 覚える数を減らせる
- 偽サイトに気づく助けになる場合がある
- 使い回しを減らせる
もちろん、パスワードマネージャーを使う場合は、管理するためのメインパスワードを強くする必要があります。
そして、多要素認証も設定した方がよいです。
信頼できるサービスを選ぶことも大切です。
ですが、「全部自分の頭で覚える」より、仕組みで分散して守る方が現実的だと思うのです。
第8章 もしパスワードが漏れたかもしれないと思ったら
- パスワードが漏れたかもしれない
- 偽サイトに入力してしまった
- 知らないログイン通知が届いた
- いつも使っているサービスから情報漏洩のお知らせが来た
そんなときは、早めに対応することが大切です。
まず行うことは、被害を広げないことです。
- 該当サービスのパスワードを変更する
- 同じパスワードを使っている他のサービスも変更する
- 多要素認証を設定する
- ログイン履歴や利用履歴を確認する
- 不審な端末やセッションをログアウトする
- 金融機関やカード会社の利用履歴を確認する
- 必要に応じて公式サポートへ連絡する
ここで注意したいのは、偽サイトに入力した直後に、その偽サイト上でさらに操作しないことです。
パスワード変更は、公式アプリやブックマーク、正しいURLから行います。
また、同じパスワードを使い回していた場合は、ひとつ変えるだけでは足りません。
同じ鍵を複数の場所で使っていたなら、全部の鍵を変える必要があります。
漏れたかもしれないときに大切なのは、被害が広がる前に、早く入口を閉じることなのです。
第9章 パスワードを見る5つの問い
パスワードを見直すときは、次の5つの問いを持つと整理しやすくなります。
「同じパスワードを使い回していないか?」
「短すぎたり、推測されやすかったりしないか?」
「過去に漏れた可能性はないか?」
「多要素認証を設定しているか?」
「漏れたときに、どこから変更すればよいか?」
たとえば、メールアカウントならこうです。
- 同じパスワードを使い回していないか?
- メールは多くのサービスの復旧先になる
※数ある中でも特に注意して管理すべきなのが、メールアカウントなのです。
- メールは多くのサービスの復旧先になる
- 短すぎたり、推測されやすかったりしないか?
- 名前、誕生日、単純な数字、よくある単語は避ける
- 過去に漏れた可能性はないか?
- 昔から使っているパスワードほど、どこかで漏れている可能性を考える
- 多要素認証を設定しているか?
- メールは重要度が高いため、優先して設定する
- 漏れたときに、どこから変更すればよいか?
- 公式アプリや公式サイトから変更する
このように考えると、パスワード対策は「強い文字列を作る」だけではありません。
- 使い回し
- 漏洩
- 認証
- 変更手順
- 被害の広がり
ここまで含めて考える必要があります。
パスワードは、覚えるものではなく、守る仕組みとして見ることが大切なのです。
第10章 あなたが今日からできるパスワード対策
最後に、あなたが今日からできる対策を整理します。
まず、すべてを一気に変える必要はありません。
優先順位をつけることが大切です。
特に優先したいのは、次のアカウントです。
- メール
- 銀行
- クレジットカード
- 通販
- SNS
- クラウド
- スマホ
- 仕事用アカウント
そして、基本対策は次の通りです。
- 重要なアカウントから見直す
- 同じパスワードを使い回さない
- 長くランダムなパスワードを使う
- パスワードマネージャーを検討する
- 多要素認証を設定する
- メールやSMSのリンクからログインしない
- 漏れた可能性がある場合は早めに変更する
最初に見直すなら、メールアカウントがおすすめです。
なぜなら、メールは多くのサービスの「鍵の再発行先」だからです。
メールを乗っ取られると、他のサービスのパスワード再設定に悪用される可能性があります。
次に、銀行、決済、通販、クラウド、SNSです。
お金、個人情報、写真、信用につながるからです。
パスワード対策は、完璧を目指す必要はありません。
重要な場所から、ひとつずつ守る。
そうやって積み重ねることが、被害を減らすことに繋がるのです。
まとめ パスワードは、破られる前提で守る
パスワードは、デジタル空間の鍵です。
ですが、万能ではありません。
- 短いパスワードは試されやすい
- 推測されやすいパスワードは当てられやすい
- 使い回したパスワードは被害を広げる
- 漏れたパスワードは別のサービスで試される
- 偽サイトに入力すれば盗まれる
そのため、パスワード対策は「強い文字列を作る」だけでは足りません。
- 長くランダムにする
- サービスごとに変える
- パスワードマネージャーを使う
- 多要素認証を設定する
- 公式アプリやブックマークからログインする
- 漏れたら早く変える
こうした行動が必要です。
パスワードは、絶対に破られない鍵ではありません。
だからこそ、破られても被害が広がりにくい仕組みを作ることが大切です。
サイバーセキュリティは、気合いや記憶力で守るものではありません。
仕組みで守るものなのです。
次回は、「多要素認証とは何か」を扱います。
「なぜパスワードだけでは足りないのか?」
「認証アプリやSMSコードには、どんな違いがあるのか?」
「多要素認証を設定しても、なぜだまされることがあるのか?」
「あなたは、どのサービスから設定すればよいのか?」
こうした問いを、防御の層という視点から見ていきます。
次回の【第5回】多要素認証とは何か|パスワードだけでは守れない理由をわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
今回は特にありません。
パスワード管理は、書籍で学ぶよりも、公式情報を確認しながら、あなたの実際のアカウント設定を見直す方が役に立ちます。
特に、メール、銀行、SNS、クラウド、スマホの設定画面を確認し、パスワードの使い回しと多要素認証の有無を見直すことが優先です。
参考情報
- CISA「Use Strong Passwords」
- 長く、ランダムで、サービスごとに異なるパスワードを使うことや、パスワードマネージャーの利用を確認できます。(CISA)
- CISA「More than a Password」
- 多要素認証が、ユーザー名とパスワードだけに頼るよりもアカウント保護に役立つことを確認できます。(CISA)
- NIST「Digital Identity Guidelines SP 800-63B」
- パスワードを「memorized secrets」として扱い、認証における要件や考え方を確認できます。(NIST Pages)
- NIST「SP 800-63B 旧版」
- 利用者が選ぶパスワードの最低文字数や、漏洩済み・推測されやすい値を避ける考え方を確認できます。(NIST Pages)
