2021年に総務省が公表した不正アクセス件数は、以下の通り令和2年で2806件でした。
「不正アクセス行為の発生状況」より引用
今回は、不正アクセスの中でも「不正ログイン」の対策に関して取り上げたいと思います。
まずは強いパスワードを
パスワードの使いまわしや、簡単なパスワードを使用してはいないでしょうか?
近年オンラインアカウントなどの数は年々増加しており、その分サイバー攻撃にさらされるリスクも高くなってきています。
アカウントのログインの際にパスワードがあるから安心とは言えません。
パスワードの使いまわしや弱いパスワードはサイバー犯罪者に狙われる脆弱性となってしまいます。
攻撃者がパスワードを解読する有名な手法に、総当たり攻撃があります。
文字を一文字ずつ変えて試していく方法で、理論上いつかはパスワードにたどり着けてしまいます。
パスワードが短かければ短いほどに、パスワードにたどり着く時間は短くなってしまいます。
もう一つの有名な手法に辞書攻撃があります。
攻撃者は、パスワードに使われることの多い単語を収めた辞書を、パスワードの候補として利用します。
“1234567”のようなパスワードだと、同様にすぐに破られてしまいます。
すぐに破られてしまうパスワードはできるだけ使用せず、破られにくい強いパスワードを採用することはサイバー攻撃への重要な対策となります。
強いパスワードとは
強いパスワードとは、他人に推測されにくく、ツールでつくり出しにくいもののことです。
一方で、弱いパスワードには
- 家族や自分、ペットの名前
- 生年月日
- 住所
- 車のナンバー
- 電話番号
- 郵便番号
- 社員コード
- 辞書に載っているような単語
- 同じ文字の繰り返し
- わかりやすい並びの文字列
- 短すぎる文字列
などが挙げられます。
そして、強いパスワードを作成する上で、何より重要なのは文字列が長いことです。
次に重要なのが使用する文字の種類(小文字・大文字・数字・記号)の数です。
パスワードを単語ではなく文章にすることで長くしたり、アルファベットのoを数字の0に変えたり、aを@に変えたりなどして、出来る限り長く、さまざまな種類の文字を利用することが望まれます。
例えば、”password”というパスワードを”th1s1sMyp@ssw0rd”にするなどです。
パスワードの管理方法
パスワードの管理について、2018年3月に総務省は「複雑なパスワードは流出・漏洩がない限り定期的な変更の必要はない」とホームページで公表しました。
定期的に変更する必要がない程に複雑で、使いまわしのない固有のパスワードを用いることが推奨されるようになったのです。
しかし、そうはいっても長くて色々な文字を使ったパスワードをすべてのサイトで覚えておくのは難しいでしょう。
使用するサービスが増え行く現代においてパスワード管理はますます重要となってきています。
理想的なのは頭の中だけに記憶しておくことです。
例えば、
- 2つの複雑なパスワード(4~8文字程度)を用意する
- パスワード入力対象のサイトやサービスから2文字程度を抜き出すルールを作る
- 2で抜き出した数文字を1で用意した複雑なパスワードではさんで使用する
という方法が挙げられます。
これならば複雑かつ、使いまわしがほとんど起きない上に、容易に記憶出来るパスワード管理が可能です。
より強力なセキュリティを実現する多要素認証
より強力なセキュリティを実現するには多要素認証が挙げられます。
まず、認証方式には主に下記の三種があります。
- 知識認証:本人だけが知っている知識で認証
(パスワード・PINコードなど) - 所有物認証:本人の持っているもので認証
(ICカード・キャッシュカードなど) - 生体認証:本人の身体的特徴で認証
(指紋・顔・静脈・虹彩など)
これらの内、二種類以上の認証方式を組み合わせたものを、多要素認証と言います。
多要素認証を用いることで、攻撃者が万が一、不正にパスワードを知り得たとしても、それだけでは不正アクセスできなくできるのです。
多要素認証の例としてSMS認証があります。
一段階目としてIDとパスワードで認証を行い、二段階目の認証としてSMSに認証コードが送られてきて、それを入力することで認証プロセスが完了します。
まとめ
現代において情報は、大切にすべき資産とさえ言えます。
オンラインアカウントが増える一途の中、管理するべきパスワードも増えています。
強いパスワードを作成するのみならず、それを使いまわすことなく、安全に管理することで初めてそのパスワードは”強いパスワード”になるのです。
そしてそれに加えて多要素認証を用いることでより高いセキュリティーを実現できればと思います。
また、以下のIPAの不正ログイン対策特集ページもご参考になるかと思います。