安心相談窓口だより

不正ログイン被害の原因となるパスワードの使い回しはNG
～ちょっとした工夫でパスワードの使い回しを回避～

2016年8月1日、JPCERTコーディネーションセンターがパスワードリスト攻撃による不正ログイン被害の軽減を目的とした「STOP!!パスワード使い回し!!キャンペーン2016」を開始しました^(※1)。同キャンペーンは過去にも実施されていますが、最近でもパスワードの使い回しが原因とされるフリーメールへの不正ログインの新たな手口が確認されました^(※2)。このように不正ログインの相談は常にIPAに寄せられています。

パスワード設定はできる限り長く、複雑にし、絶対に使い回さないことです。IPAの調査^(※3)では「サービス毎に異なるパスワードを設定している」人は27.3%でした。7割以上の人がパスワードを使い回していることになります。

不正ログイン被害を防止するためにも、以下に示すような工夫を参考に安全なパスワードの作成、管理を行ってください。

ここでは、使い回しを回避するパスワードの作成方法の一つを紹介します。

1. コアパスワードの作成

まず、自分の趣味や興味のあることなどから決めた短いフレーズを基に、任意の変換ルールを適用して、憶えやすく、強度の高いパスワードを作成します。これを全てのパスワードに共通して使用する“コアパスワード”とします

例えば、「テレビが好き」というフレーズを決めた場合、このフレーズをローマ字に変換します。ヘボン式ローマ字で変換すると、「terebigasuki（12文字）」となり、これだけである程度の長さ（桁数）を確保した憶えやすいパスワードが作成できます。

次に、ローマ字に置き換えた文字列の一部を大文字、記号、数字に置き換えたり、数字や記号を追加したりなど、任意の変換ルールを適用します。

図1：コアパスワード作成の例

例えば、図1の変換ルール1では助詞の「が＝ga」を大文字に変換し「GA」としました。また変換ルール2では末尾に「!!」を追加し、更に変換ルール3では好きなスポーツ選手の背番号（ここでは06を想定した）「06」を追加しています。その結果得られた「terebigasuki!!06（16文字）」という文字列で、一定の長さ（桁数）と強度が確保できたため、これをコアパスワードとします。

2. サービス毎に異なるパスワードの作成

次に、サービス名の略称や頭文字、URLの一部などから、サービス毎に任意の短い文字列を決めます。これをサービス毎の識別子として、コアパスワードの前または後に追加します。

図2：識別子をコアパスワードの前に追加した例

このように、コアパスワードが共通であっても、異なる識別子を追加することで、サービス毎に異なるパスワードが作成でき、パスワードの使い回しを回避することが出来ます。

前述のように作成したコアパスワードと識別子で構成されるパスワードの管理は、コアパスワードのみを暗記し、サービス毎の識別子は電子ファイルや紙で記録します。コアパスワードと識別子は別々に管理されるため、万が一、識別子を記録した電子ファイルの流出や紙を紛失した場合でも、その情報だけでは悪用できず、サービスへの不正利用などの被害にならずに済みます。

図3：紙に記録してパスワードを管理する方法例

ここまで、利用者におけるパスワード作成、管理の工夫について紹介してきました。一方でサービス提供者にも、利用者が強度のあるパスワードを設定できる配慮が求められます。具体的には、利用者が設定するパスワードに使う文字数や文字種を可能な限り増やすことです。

他にも、万が一の漏えいによってパスワードの不正利用などが発生しないよう、システムへのセキュリティ対策（強化）はもちろんのこと、パスワードをソルト付きハッシュ値^※4として管理することがサービス提供者に求められます。また、二段階認証やリスクベース認証など、複数の本人確認手段を用意し、利用者の認証プロセスを強化するといった対策についても検討、実施することが望まれます 。

アンケートのお願い

　 よろしければ今後のサービス向上を図るため、「安心相談窓口だより」に関するアンケートにご協力ください。

＞ アンケート画面へ