「守るはずが危険に」 パスワードに関する7つの勘違い

毎日使っているため、パスワードのことは何でも分かっていると思い込みやすい。だがそうではない。パスワードに関する7つの「勘違い」を紹介しよう。

[畑陽一郎，キーマンズネット]

　世界初のパスワードは1961年に米国の大学（MIT）で使われたと言われている。それから60年以上たった現在、パスワードはすっかり仕事や生活になじんでいる。それだけにパスワードには幾つもの勘違いが生まれた。

　連載第5回ではパスワードの「勘違い」を紹介しよう。例えば「パスワードに『$』や『&』などの記号を入れれば安全だ」「定期的にパスワードを変更すると安全性が高まる」といったものだ。何が間違っているのか分かるだろうか。

守るはずが危険に　パスワードに関する7つの勘違い

【勘違い1】　パスワードに『$』や『&』などの記号を入れれば安全だ

時間がないユーザー向けの要約

• 12文字以上の大文字と小文字を混ぜたパスワードを使う
• サービスごとに必ず異なるパスワードを使う
• 多要素認証を使っていても以上の2点を守る

　パスワードが強力かどうかは記号を入れるかどうかだけで決まるわけではない。連載第1回で紹介したように長さの方が重要だ。8文字のパスワードを設定するとアルファベットの小文字、アルファベットの大文字、数字、記号を含んでいたとしても8時間で推測されてしまう。だが英小文字だけであっても14文字あれば49年間安全だ。

　具体例を挙げよう。日本の企業で最も利用者が多いパスワードは「password」だ。危険性を下げるためにこれを「P@55w0rd!」に変えたとしよう。推測にかかる時間はわずか2週間だ。

• 推奨策1　パスワードは長くしよう

　アルファベットの大文字と小文字だけでも12文字あれば推測に289年間かかる。例えば「CatDogRatBat」のように短い英単語を複数結合したパスワードは「7&J!8yQu」よりも安全だ。長いパスワードを選ぼう。

核ミサイルの発射コードがやばすぎた

　パスワードの勘違いに関して、核ミサイルのパスワードについての逸話を紹介しよう。

　大陸間弾道ミサイル「ミニットマン」は米国の核戦略の中核であり、過去には最大1000基が配備されていた。それぞれのミサイルには3個の再突入体（核爆弾）が入っており、地球の裏側（最大射程1万3000km）まで最大速度マッハ23、約30分で攻撃できた。

　これほど巨大な攻撃力を安全に運用するため、発射には複雑な手順があった。単純化すると大統領の指示によりパスワードがミサイル発射担当者に送られる。だがパスワードは20年間変わっておらず「00000000」だったという。これは米国の核安全保障の専門家であるブルース・ブレア氏によるものだ。

　この逸話はパスワードの勘違いのどれに引っかかっているだろうか。

【勘違い2】　定期的にパスワードを変更すると安全性が高まる

　パスワードを定期的に変更するように情報システム部門から指示を受けたことはないだろうか。指示には従わなければならないが、定期的に変更したとしても安全性が高まるとは限らない。

　確かにパスワードが漏えいした場合は、即座にパスワードを変更するべきだ。漏えいしたかどうかを判断するにはサービスからの案内を待つか、または連載第2回で紹介したWebサイトを使う。いつ漏えいが起こるか分からないため、定期的に変更した方がよいように思える。

　だがパスワードを設定するのは人間だ。人間は定期的に起こる面倒な作業では楽をしようとする。パスワードを定期的に変更するよう強制されると、短くて単純なパスワードを選んだり、前回のパスワードの末尾に「02」などの文字列を追加したりしてやり過ごそうとする。これではパスワードの強度が下がってしまい、攻撃に対して弱くなる。

• 推奨策2　アカウントごとに強力で固有のパスワードを設定したら変更しない

　パスワードは攻撃に対して強いものを選ぶべきだ。アカウントごとに強力なパスワードを選ぶべきだ。どうしても定期的にパスワードを変更したいのであれば、これを守ることだ。

国の機関はどのような指針を出しているか

　総務省は2023年5月に発表したガイドラインで「パスワードの定期的な変更は不要」と明言した。総務省の「安全なパスワードの設定・管理」というWebサイトでも「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」とした。

　米国国立標準技術研究所（NIST）は刊行物「SP800-63B」で頻繁なパスワード変更を推奨せず、パスワードの有効期間を長くするよう推奨している。定期的な変更よりも、パスワードの有効期限を設けて、既知の侵害が発生した場合のみ、または多くても年に1回のみパスワードをリセットすることを推奨している」

【勘違い3】　多要素認証を使っているのでパスワードは適当でよい

　多要素認証（MFA）や二要素認証（2FA）は、パスワードと組み合わせてセキュリティを高める仕組みだ。つまり「かけ算」になっていると例えることができる。かけ算で一方の数が小さいと、結果も小さくなる。パスワードと多要素認証の関係も同じだ。

　多要素認証は強力なパスワードに取って代わるものではない。

• 推奨策3　多要素認証を使っていても強力なパスワードを設定する

　攻撃者はソーシャルエンジニアリングやSIMスワップなどの攻撃手法で多要素認証を回避することがある。それでも強力なパスワードを設定していれば、防御は固くなる。

【勘違い4】　攻撃者は高度な技術でパスワードを解読する

　攻撃者が激しくキーボードに何かを打ち込みながらパスワードを解読している映画を見たことがないだろうか。これは勘違いだ。

　ほとんどの攻撃者はフィッシング攻撃やクレデンシャルタッフィング攻撃などの自動化された攻撃手法を使う。技術的な脆弱（ぜいじゃく）性を悪用するというより、人的ミスや弱いパスワードを狙ってくることが多い。もちろん、ブルートフォース攻撃者やデータを分析することでパスワードを不正に割り出すパスワードクラックツールを使う攻撃者もいる。こちらの方が映画のイメージに近いかもしれないが、いずれにしても激しくキーボードをたたいたりはしない。

• 推奨策4　攻撃者は人的ミスを狙ってくるものだと考えよう

　パスワードを守る際には強力なパスワードを選ぶだけでは不十分だ。いくら強力であっても詐欺（フィッシング攻撃）に引っかかると役に立たない。これを忘れないようにしよう。クレデンシャルスタッフィング攻撃を避けるには強力なパスワードであっても使い回しをしないことが有効な対策だ。

【勘違い5】　重要でないアカウントではパスワードを再利用しても問題ない

　オンラインバンクやショッピングサイトで弱いパスワードを使ってはいけないことは当然だろう。金銭や品物を盗み出されてしまうからだ。

　ではソーシャルメディアや金銭とは無関係なサービスはどうだろうか。パスワードを再利用しても大丈夫だろうか。これは危険な考え方だ。

　一見重要でないアカウントでも、攻撃者にとっては価値のある個人情報が含まれていることがある。パスワードを使い回したり、似たパスワードを使ったりするユーザーは多い。あるサイトで漏えいしたパスワードやそれと似たパスワードが、他のサイトでも悪用できる可能性は高い。

• 推奨策5　どのようなアカウントでも強力なパスワードを使う

　強力な複数のパスワードを暗記するのは難しい。パスワードマネジャーを使おう。

【勘違い6】　キーボードのキーの配置を利用したパスワードは安全だ

　キーボード上のキーの配置を利用したパスワードがある。例えばキーボードの左上から下に1、q、a、zと選んでいくようなパターンだ。これでは短すぎるため、2列目も使って「1qaz2wsx」としよう。これはランダムだから安全なパスワードだろうか。そうではない。日本の企業で4番目によく使われているパスワードだ。

　キーボード上のキーのパターンを使ったパスワードは予想以上に多く使われている。日本の企業で利用者が多い上位20のパスワードのうち、数え方にもよるがこのようなものが7つを占めている。つまり攻撃者は最初にこのようなパスワードを試すだろう。アルゴリズムを使ってパスワードを解く際にもそうするはずだ。

• 推奨策6　キーボードのパターンを使ったパスワードは避ける

　ランダムで長い文字列、または短い英単語を複数足し合わせた長いパスワードを使おう。

国の機関はどのような指針を出しているか

　総務省は「安全なパスワードの設定・管理」でキーボード配列に基づくパターンを避けるように推奨している。

【勘違い7】　パスワードのヒントは役に立つ

　パスワードを忘れた場合に備えて、覚えやすいヒントを設定することが良いと考える管理者やユーザーは多い。

　これは正しくない。攻撃者がパスワードを推測する際、ヒントを悪用することがあるからだ。「最初のペットの名前は？」といった一般的な質問は、狙った相手のSNSなどで簡単に調査できる場合があるからだ。これと似た勘違いがある。誕生日などの個人情報を含むパスワードは推測できないから安全だというものだ。ペットの名前、誕生日、出身地、学校の名前などはどれも安全ではない。

• 推奨策7　パスワードを忘れたときの備えはヒントではなく、パスワードマネジャーや多要素認証にしよう

　こうした方法を採れば、ヒントよりも確実に安全にパスワードのど忘れを避けることができる。

国の機関はどのような指針を出しているか

　NISTはSP800-63Bにおいて、ヒントや知識ベースの認証を禁止している。知識ベースの認証とはさきほど挙げたペットの名前や母親の旧姓などの情報だ。

　NISTはヒントではなく、多要素認証（MFA）をシステムに組み込むべきだとしている。