インターネット上の会員サービスのほとんどは、ユーザーを識別するためのIDと、本人であることを確認するためのパスワードを使った認証で成り立っています。IDとパスワードが合っていれば、ユーザー本人が操作しているとみなしてしまうため、本人になりすました第三者が、サービスを不正に使用してしまうことがあります。今回は、そんななりすましを防ぐためのアカウント管理の基本と、さまざまな保護対策をご紹介します。
<INDEX>
■基本その1:ウイルス感染対策とフィッシング対策
■基本その2:破られにくい強いパスワードの設定
■基本その3:パスワードの使いまわしに注意
■基本その4:パスワード管理
OSの管理機能/Webブラウザの管理機能/パスワード管理ツール
■アカウント保護対策:不正ログイン防止に役立つオプション機能
通知/履歴/IDの秘匿化/2段階認証
ID/パスワード認証は、「パスワードを知っている人=本人」とみなす仕組みなので、パスワードは本人しか知らない情報であることが大前提だ。本人しか知らないはずのこのパスワードが第三者に知られてしまうと、不正ログイン被害が発生する。ではなぜ他人にパスワードを知られてしまうのだろうか。
その原因には、不正アクセスを受けたサイトやウイルスに感染したパソコンからの流出、フィッシングによる詐取、安易なパスワードを機械的に試行する攻撃、類推など、さまざまなものが考えられる。登録先の不正アクセスなどによる流出のように、ユーザー側では対処できないものもあるが、多くは、私たち自身で有効な対策を講ずることができる。
<以下本文>
<ウイルス感染対策>
多発しているオンラインバンキングの不正送金では、ユーザーのパソコンに不正なプログラムを感染させ、パソコン内に保存されたID/パスワードや、サービス利用時にユーザーが入力するID/パスワードを盗み取る手口が使われている。これに関しては、「システムやソフトウェアを最新の状態に保つこと」と、「信頼できると確信が持てるとき以外は、絶対にファイルを開かないこと」を心がければ、ほとんどを回避できる。セキュリティソフトの導入も有効な対策のひとつだ。
<フィッシング対策>
メールなどを使って本物そっくりの偽のログインページに誘導し、ID/パスワードを入力させようとするフィッシングも多発している。国内では、オンラインバンキングやオンラインゲーム、プロバイダなどのWebメールを狙ったものが特に多い。ログインする際に正規のサイトであることを必ず確認するよう心がければ、フィッシングは回避することができる。
標的にされる大手のサービスは、たいてい「SSL暗号化通信」(注1)に対応しているので、ログインページを開くと、Webブラウザのアドレスンバーの横などに「錠前マーク」が表示される。「EV SSL対応」(注2)のサイトなら、運営会社の名前も表示されるので一目瞭然だ。そうでない場合も、SSLに使用している証明書の中身を見たり、URLをチェックしたりすることによって、正当性を確認できる。
「安易なパスワードを機械的に試行する攻撃」や「類推」については、強いパスワードの設定が最も有効な対策となる。辞書に載っているような単語、「12345678」のような連続する文字や繰り返した文字、電話番号や誕生日、名前といった推測されそうなものを避け、英大小文字、数字、記号を織り交ぜた、長いパスワードを設定する。一般には、英大小文字、数字、記号を織り交ぜた8文字以上が、破られにくい強いパスワードとされている。マイクロソフトが提供するパスワードチェッカーのページで、あらかじめパスワードの強度をテストしてみると良いかもしれない。
・パスワードチェッカー(マイクロソフト)
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
このほかにも、人がいるところでの操作は、覗き見されるかもしれない。ネットカフェなどの自分が管理していないパソコンでは、入力情報を記録されるかもしれない。公衆無線LANなどのあずかり知らない回線では、盗聴されるかもしれない。こうしたことにも気を留め、注意を払うようにしたい。
昨年1年間で90万件を超える不正ログイン被害が発生したが、その中でもひときわ目立つのが、一昨年あたりから頻発している「リスト型攻撃」(注3)と呼ばれている手口によるものだ。これは何らかの方法で集めたID/パスワードのリストと攻撃ツールを使い、特定のサービスに機械的にログインを試行して有効なアカウントをあぶり出して行く手法だ。リストがどのようにして作られたのかは定かではないが、中国の闇市場では、不正アクセスやウイルス感染、フィッシングなどの何らかの方法で集めた日本国内のID/パスワードリストが取引されているようだ。
リスト型攻撃では、複数のサイトで同じID/パスワードの組み合わせを使用しているユーザーが被害を受ける。同じID/パスワードの組み合わせを使いまわしている場合には、どこか一個所から漏えいしてしまうと、他のサイトが芋づる式に不正アクセスされてしまうおそれがあるのだ。
いろいろな会員サービスを利用していると、破られにくい強いパスワードを使いまわさないように設定するのは至難の業かもしれない。例えば、強いパスワードをひとつ作り、そのパスワードにサービスごとに異なる文字を加えて、各サービスのパスワードにすると、重複しない強いパスワードが生成できる。共通のパスワードの部分を、いくつかのフレーズを自分なりのルールで加工するように工夫すれば、全てを暗記しておけるかもしれない。
暗記しようとはせず、メモに頼るのも一計だ。紙のメモは、他人に見られた場合や落とした場合を想定し、自分にしか分からない書き方にしておくことが好ましい。ファイルに保存しておく場合には、ファイルをパスワードで保護しておくこともお勧めする。システムやブラウザの管理機能を利用したり、専用の管理ツールを使用したりするのもよいだろう。
・OSの管理機能
Mac(OS X Mavericks v10.9以降)とiPhoneなどのiOS端末(iOS 7.0.3以降)には、「iCloudキーチェーン」という機能が用意されている。これは、メールなどのアプリで使用するアカウント情報や、SafariでログインしたWebサイトのアカウント情報などを一括管理する機能を提供するもの。異なる端末間で同じ保存情報を利用できるように、承認した端末間で同期する機能もサポートされている。
図1 iCloudキーチェーン :[設定]→[iCloud]の順に選択し[キーチェーン]をオンにする(注4)
・Webブラウザの管理機能
Safari以外のWebブラウザにも、ログインしたWebサイトのアカウント情報を保存しておく機能が備わっている。FirefoxやGoogle Chromeの場合には、保存情報を別の端末のそれぞれのブラウザでも利用できるようにする同期機能も用意されている。Firefoxの場合は、Firefox Syncのアカウントを作成し、Google ChromeはGoogleアカウントを作成し、それぞれのブラウザにログインすると、同期機能が利用できるようになる。
図2 Firefox(Windows版の例):メニューの[Syncにサインイン]を選択しSyncを開始する(注5)
図3 Google Chrome(Windows版の例):右上のタイトルバーのボタンをクリックし[Chromeにログイン](注6)
・パスワード管理ツール
ID/パスワードを保存して管理するための有料無料の専用ツールも多数リリースされている。ツールによって機能は異なり、ブラウザへの自動入力をサポートしたものや、ID/パスワード以外の情報も管理できるもの、別の端末間での同期機能をサポートしたものなどもある。
■アカウント保護対策:不正ログイン防止に役立つオプション機能
Webサービスには、不正ログインの防止や早期発見に役立つさまざまな機能が用意されているので、それらも積極的に利用したい。
・通知
ログインや特定の操作が行われた際に、あらかじめ登録しておいたメールアドレス宛てに通知する機能。通知するだけでなく、受け取った通知から承認や無効化の操作を行えるものもある。常時持ち歩いている携帯宛てにログインや設定変更などの通知を送るようにしておくと、不正使用の早期発見に役立つ。
・履歴
過去のログインや特定の操作の履歴を閲覧する機能。ログイン通知の機能がない、あるいは頻繁に利用するので無効化しているような場合には、身に覚えのない日時やアドレスなどからのアクセスがないかどうか、履歴機能を使ってこまめにチェックするとよい。ログイン時に前回のアクセスを表示するサービスでは、見逃さないよう心がけたい。もし身に覚えのない不審なアクセスがあったら、直ちにパスワードを変更する。
・IDの秘匿化
ログイン用のIDと表に出る表示名とを別のものに設定する機能。後からIDを変更するタイプ、表示名を変更するタイプ、両方可能なタイプがある。ログイン用のIDも秘密にできれば、パスワードだけで保護するよりも安全性が増す。IDが表に出ないサービスであれば、同じIDを使いまわさないことや、他人に教えないことでも安全性を高めることができる。
IDにメールアドレスを要求するサービスが多いが、このような場合には、ふだん使用しているメールアドレスとは異なるものを個別に使用することによって、IDの匿名性を高めることができる。ただし、いたずらにメールアドレスを作成してしまうと、メールアカウントが増えて煩雑になり、管理もずさんになってしまうおそれがある。こうした用途には、ひとつのメールアドレスを拡張して別のアドレスを生成できるメールサービスや、ひとつのアカウントに複数のメールアドレスを統合できるメールサービスを利用すると便利だ。メールサービスにある、「サブアドレス」「別名アドレス」「エイリアスアドレス」などと呼ばれている機能がそれだ。
本来のメールアドレスを拡張するタイプでは、「ベース名@ドメイン名」という元のメールアドレスに対し、「@」の左側に「+」や「‐」を付けて任意の文字列を追加。「ベースアドレス+任意の文字列@ドメイン名」という形に拡張したものを、本来のメールアドレスと同じように利用できるようになる。複数のメールアドレスを統合するタイプでは、全く別のアドレスを取得し、同じアカウントの管理下に加えることができる。両者は若干異なるものの、どちらも表向きは別のメールアドレスとして扱われ、それぞれに送られたメールが同じアカウントに配信される。
・2段階認証
IDとパスワードが盗まれても、それだけではサービスが利用できないように、もう1段階別の認証を追加する機能で、毎回変化するその場限りの「認証コード」を入力するのが一般的。この認証コードは、専用のハードウェアやソフトウェアで生成するもの、メールやSMS、音声通話で送られて来るもの、あらかじめ配布した乱数表を使うものがある。
個人向けのオンラインバンキングでは、送金などの重要な操作を行う際に、ほとんどのサービスでこの追加認証を行う。SNSやポータルサイトでは、ログイン時に行うことが多く、サービスによっては、設定変更などの重要な操作を行う際にも改めてログイン手順を実行したり、追加認証を行ったりするところもある。2段階認証は、Apple、Microsoft、Google、Yahoo! JAPAN、Twitter、Facebookなどの主要なサービスで導入されており、不正ログイン防止に大きな効果が期待できるので、まだ利用していない方はぜひ導入を検討していただきたい。
図4 2段階認証:認証コードメールやSMSで送る例
(執筆:現代フォーラム/鈴木)
<注1>SSL暗号化通信
SSLという暗号化通信の仕組みを使って接続すること。アドレスバーのURLが「https:」で始まり、錠前マークが表示される。
<注2>EV SSL対応
国内の金融機関はEV SLLという特別な証明書を使用していることが多い。EV SLLのサイトにhttpsで接続すると、アドレスバーの横に運営会社の名前が緑色で表示される。ここに正規サイトの運営会社の名前が表示されていれば、正規サイトであることが確認できる。地銀や信金などのオンラインバンキングでは、外部のシステムを利用しているところが多く、その場合は銀行名ではなく運営会社の名前が表示されることがあるので注意していただきたい。
<注3>リスト型攻撃:関連記事 ・「リスト型不正ログイン」頻発、「パスワードの見直し」を(セキュリティトコラム、2014年10月)
http://gendaiforum.typepad.jp/column/2014/10/リスト型不正ログイン頻発パスワードの見直しを20141030.html
<注4> ・iCloud:iCloud キーチェーンについてよくお問い合わせいただく質問 (FAQ)(アップル)
http://support.apple.com/ja-jp/HT5813
<注5> ・Firefox Sync をセットアップするには(モジラ)
https://support.mozilla.org/ja/kb/how-do-i-set-up-firefox-sync
<注6> ・Chrome にログインする(Google)
https://support.google.com/chrome/answer/185277?hl=ja