2018年11月1日よりタイトルをWCA(世界の時事)に変更しました。
2014.12.24
カテゴリ:ブログ
“使い回し”に潜む大きな落とし穴
大量のID、パスワードをどう管理するか
ID、パスワードを覚えきれずについ使い回してしまい、攻撃者に不正アクセスされる被害が後を絶たない。攻撃者に推測されにくいパスワードを、個々に設定することが防御策になるが、いくつものパスワードを持っている人にとって、すべてを覚えておくのは至難の業である。こうした面倒を省き、利便性と安全性を両立する便利なツールが「パスワードマネージャー」だ。
個人も狙われている 金銭窃取目的の攻撃
外出先ではスマートフォンやタブレット、自宅ではPCを使って、いつでも、どこでもインターネットにアクセスできる便利な時代。その反面、セキュリティ対策を怠ると攻撃者の被害に遭う恐れがある。金銭の窃取を目的にする攻撃者が狙うのは企業ばかりではない。個人も狙われているのだ。
情報セキュリティの調査などを行っている情報処理推進機構(IPA)セキュリティセンターでは毎年、「情報セキュリティ 10大脅威」を発表している。2014年版によると、「不正ログイン・不正利用」(2位)、「Webサービスからのユーザー情報の漏えい」(4位)、「オンラインバンキングからの不正送金」(5位)、「ウイルスを使った詐欺・恐喝」(9位)など、個人を狙った脅威が多い。Webサイトを運営する企業側の対策はもちろん重要だが、ユーザー自身が脅威を理解し、しっかりしたセキュリティ対策をとることが欠かせない。
今日のネット社会では、ネットショッピング、ネットバンキング、ソーシャルネットワークサービス(SNS)など、さまざまなWebサイトでID、パスワードの登録が求められる。「2012年に当社が行ったWebサイトの利用状況に関する調査では、ユーザー一人当たり14サイトにID、パスワードを登録しています」とトレンドマイクロの木野剛志氏は話す。
ID、パスワードは銀行の暗証番号と同じ
ID、パスワードを登録するWebサイトが増える結果、パスワードを覚えられない、別のパスワードを考えるのが大変といった理由で、パスワードを使い回す人は多い。こうした要因を背景に、不正ログインで侵害されたID、パスワードの総数は2014年第2四半期で約61万5000件。前期の10倍に増えているという(2014年8月公表データを基にしたトレンドマイクロ調べ)。
パスワードを狙う攻撃者の手口も多様化している。以前は、さまざまな文字列の組み合わせを試してパスワードを推測する「総当たり(ブルートフォース)攻撃」や、辞書に記載された単語からパスワードを推測する「辞書攻撃」が多かった。
だが、最近は「パスワードリスト攻撃」と呼ばれる手口が主流になっている。攻撃者は脆弱なWebサイトなどから不正に取得したパスワードのリストを悪用し、他のWebサイトに攻撃を仕掛けるというもの。ID、パスワードを使い回していた場合、そのサイトにとって「正規のID、パスワード」を使って不正ログインすることが可能となり、金銭や個人情報を盗まれるリスクが高くなる。
こうした被害を防ぐためには、ID、パスワードの使い回しはしない、推測されやすい単純なパスワードは設定しないといった対策が必要だ。「ID、パスワードは銀行の暗証番号やパスポートと同じ。盗まれると金銭被害を受けたりプライバシーが侵害される恐れがあります」と木野氏は警告する。
マスターパスワード一つで
複数Webサイトにログイン
ID、パスワードの設定・入力にかかわる面倒を省いてくれるのが、トレンドマイクロの「パスワードマネージャー」だ。複数WebサイトのID、パスワードを簡単・安全に管理するソリューションとして2012年にリリースされ、パスワード被害が増える今日、改めて注目されている。
「パスワードマネージャー」の使い方は簡単だ。まず、Webサイトにログインする際に共通のパスワードとなる「マスターパスワード」を設定。そして、ショッピングサイトやSNSなど普段使っているWebサイトにID、パスワードを使ってログインすると、「パスワードマネージャー」にそのWebサイトのID、パスワードが自動登録される仕組みだ。
登録後は個々のWebサイトでID、パスワードを入力することなく、ログインできる。つまり、マスターパスワードを一つ覚えていれば、あとは「パスワードマネージャー」が個々のサイトのパスワードを自動で入力してくれるイメージだ(注1:すべてのWebサイトに対応しているわけではない)。
また、簡単なパスワードを設定している人も多いが、「パスワードマネージャー」は登録されているパスワードのセキュリティレベルの安全性を色分けで評価する機能を装備する。「Webサイトごとに複雑なパスワードを考えるのは結構大変ですが、『パスワードマネージャー』はパスワードを自動で生成する機能を備え、パスワードの強度を高められます」と木野氏は説明する。
任意の字数と文字の種類(アルファベット、数字、記号)を指定するだけで、「パスワードマネージャー」が自動的に安全高いパスワードを生成してくれる。これらの充実した機能により、簡単かつ安心してID、パスワード管理が行える。
クラウド上で登録情報を
保管し多彩な機能を提供
「パスワードマネージャー」の登録情報は暗号化され、トレンドマイクロのクラウド上で保管される。このため、多彩な機能を利用できることも特徴だ。マルチデバイス対応もその一つ。登録されたパスワード情報はPC、スマートフォン、タブレットなどに同期され、マルチデバイスで「パスワードマネージャー」を利用できる(注2:対応OSについては、こちらで確認を)。
また、PCやスマートデバイスを買い替えても安心だ。「パスワードマネージャー」に登録済みのWebサイトのID、パスワードは、新しいPCやスマートデバイスに「パスワードマネージャー」のプログラムをインストールし、マスターパスワードを入力するだけで使える。
パスワード管理ツールはさまざまなタイプが提供されているが、「トレンドマイクロならではの強みは、『ウイルスバスター クラウド』と連携したソリューションを提供できることです」と木野氏は強調する。
もともと「ウイルスバスター クラウド」は、不正プログラムの検出機能や、不正サイトへのアクセスをブロックするWebレピュテーション機能などにより、ID、パスワードの詐取を防ぐことが可能だ。「パスワードマネージャー」と併用することで、さらに強固なセキュリティ環境を構築できる。
「ID、パスワード管理の基本は、使い回しをしないことと、簡単なパスワードを設定しないことです。それを簡単・安全に行えるのが『パスワードマネージャー』です。パスワードのセキュリティ対策の一つとして、ぜひ検討してください」と木野氏は訴える。
トレンドマイクロは、「ウイルスバスター クラウド」3年版と「パスワードマネージャー」をセットで購入すると4000円分の商品券をプレゼントするキャンペーンを実施(2015年2月28日まで)。また、「パスワードマネージャー」有償版では月額154円(税込)で利用できるオンラインサービスも用意している。このほか、五つまでWebサイトのID、パスワード管理ができる無料版もあるので、使い勝手を確かめてみてはどうだろうか。