ネットサービスを利用するには、IDとパスワードを入力してログインすることが必要です。
あなたのメールアドレスが流出すると、迷惑メールがわんさか届いて、不正ログインに遭う危険性が高まります。
その理由は、このメールアドレスがあらゆるネットサービスのログインIDと見なされるからです。
次にやってくるのがパスワードを探ることをしてきます。
悪い人はどうやってパスワードを見つけるの?
いろいろ方法があるけど、大まかな手口は3つあるよ。
有名なのがフィッシングですね。
次いで、キーロガー、総当たり攻撃があるよ。
今回はネットサービスを安全に使うためのパスワード管理について記事を書こうと思います。
目次
あなたのパスワード管理は大丈夫ですか?
前回の記事では迷惑メールがたくさん来るようになると、不正ログインなどハッキングに遭う確率が高まります。
さらに、同じメールアドレスで同じパスワードを使い回していると、最悪、芋づる式にあらゆるサービスで不正ログインされてしまいます。
その理由は、以下の記事を見ていただければわかります。
オホーツクWeb工房では網走市を中心にパソコントラブルを解決するサービスをしています。 その中で比較的多い相談が「迷惑メールがやたら届いて困る」というものです。長期間、同じメールアドレスを使っていると、スパムメールやフィッシングメールといった迷惑メールが来ることがあります。 かくゆう私も...
あらゆるネットサービスを利用する上で付きものとなるのが、ログインIDとパスワードですが、管理はどうしていますでしょうか?
多くの人は少なくともAmazonや楽天といったネットショップや、YoutubeやX(Twitter)などのGoogleやSNSくらいは使っているはずです。
これらのIDとパスワードを使い回す危険性は前回の記事で語りましたが、さらに解読されやすいパスワードがあります。
次に日本人が使いがちな危険なパスワードを紹介していきます。
また、不正ログインするための手口である、フィッシングや総当たり攻撃、キーロガーについても紹介したいと思います。
日本人が使う危険なパスワードTOP10
パスワードというのは人に大っぴらにするものではないので、他人がどんなパスワードを使っているかはわからないですね。
株式会社ソリトンシステムズが2021年に発覚した日本人の漏洩パスワードをランキングしたものが以下のとおりとなっています。
2021年の日本人パスワードについては1,829,473種類確認され、これを重複の多い順に並べたものがランキングで1位から10位は下記の通り。
1位:123456
2位:password
3位:000000
4位:1qaz2wsx
5位:12345678
6位:123456789
7位:111111
8位:sakura
9位:dropbox
10位: 12345
これを見ると、毎回同じようなものが見受けられますが、4位の”1qaz2wsx”というのは初めて知りました。
なんでこれが4位はわかりませんでしたが、調べてみたところキーボード配置を見ると納得です。
キーボードの左端近くの2列を入力することで8桁のパスワードができます。
一見、英数字が混じっていて複雑そうに見えて、とても単純なものでした。
あと有名なのが”qwerty”というのも同様なものとなっています。
パスワードを盗むフィッシングメール
ここからはIDやパスワードを盗んだり解読したりする行為を紹介していきます。
フィッシングメールはあらゆるネットサービスを騙った偽メールを送って、それを見たユーザーを偽サイトに誘導してIDとパスワードを入力させて盗む行為です。
このネットサービスはAmazonや銀行、クレジットカード会社などを騙っている場合が多いです。
偽Amazonから身に覚えのない注文メールだったり、銀行やクレジトットカードを騙って再認証のお願いや、「アカウントロックしました」といった見て焦るようなタイトルと内容になっています。
最近は私のスパム対策メールアドレスには、マイナンバーカードやETC、Xサーバーを騙ったメールも来るようになりました。
このようなフィッシングメールがメインで使っているメールアドレスに届いたならば、私でもうっかりメールのリンクをクリックしそうです。
通常は偽サイトに誘導されますが、最近ではURLをクリックした時点でウィルスやキーロガーを拾ってしまう場合もあるので油断なりません。
フィッシングメールを防ぐには、スパム対策メールアドレスを用意しておいて、怪しいネットサービスや懸賞、怪しいメルマガはこれを使います。
スパム対策メールアドレスに騙りメールが来たとしても、スルーできるでしょう。
キーロガーで打った文字を送信して盗む
キーロガーとは、入力された文字を、とある場所に送信してパスワードや個人情報を盗み取ることを主にしています。
そして、不自然な文字列をパスワードと見なしてログイン試行するわけです。
キーロガーはハードウェア型とソフトウェア型があります。
ハードウェア型は上の画像のように一見するとUSBコネクターにしか見えません。
これを対象のパソコンとキーボードのUSB端子に噛ませて仕込んで、WIFIなんかで自動的に打った文字を送信したりもできるものもあります。
これ普通にAmazonなんかで買える代物です。
これの使い道は、例えば会社の偉い人のパソコンに仕込んで、偉い人の個人情報やパスワードを盗んだりできますね。
ソフトウェア型キーロガーはウィルスやマルウェアのようなもので、メールや怪しいサイトに行ったりすると拾ってきます。
また、フィッシングサイトからも拾ってくる場合があります。
ソフトウェア型キーロガーはセキュリティソフトでスキャンして見つけて駆除するのが一般的です。
パスワードを1から探る総当たり攻撃
総当たり攻撃とは、IDを決め打ちした状態で、あらゆる文字列でログイン試行する行為となります。
わかりやすいのが、自転車のチェーンロックで、0000から9999の1万通りの組み合わせを1つ1つを探っていくやり方です。
コンピュータープログラムで探っていくで、とてつもない速度で文字列を試していきます。
私が前回の記事で被害に遭ったものは総当たり攻撃によってやられたものだと思われます。
当時はそのパスワードは英小文字と数字に組み合わせたったはずで、わりと容易にやられたと思います。
Youtubeでプログラマーが他人のパスワードをハッキングする動画があったので貼っておきます。
この動画では6桁のパスワードを探るのに、12分9秒のプログラム作成とパスワード解析に4分8秒の合計16分17秒でパスワードを当てられてしまいました。
これを人力でパスワード試行すると、とてつもない時間がかかりますが、コンピューターを使えは疲れ知らずで高速に探ることができるのです。
8桁の英数字のパスワードを解読するのは1時間
総当たり攻撃攻撃によるパスワード解読はプログラムでされますが、コンピューターの進化により年々解析速度が上がっています。
パスワードの強度を調べるのに適したサイトがあるので紹介します。
Data breaches and identity theft are on the rise, and the cause is often compromised passwords. After stealing credentials, cybercriminals can use passwords to
私はパスワードを設定する時に、英数字(大文字小文字含む)でランダムの8桁を設定していましたが、ものの1時間で特定されると出ました。
現在のネットサービスのパスワードは8文字以上となっているところが多いですが、8桁だとちょっと心許ないですね。
続いて、12桁の英数字(大文字小文字含む)を試した所、二千年と出てきました。
現在ならこれで大丈夫そうですが、コンピューターの性能は年々上がるので、油断なりません。
さらにもっと安全なパスワードをどうすればいいかと言うと、英数字に記号を盛り込むことです。
8桁の英数字(大文字小文字含む)に4種類の記号を混ぜるごとで40万年かかると出ました。
ここまで複雑にして、ようやく安全なパスワードになりましたね。
なお、1qaz2wsxを調べたところ、瞬時に特定されると出ました。
これは、総当たり攻撃をする時に、まずはランキングに乗っていたパスワードを試してみるからです。
つまり、ネットサービスで危険なパスワードを使うことは、とても危険なことというわけです。
複雑な文字列のパスワードをどう管理する?
パスワードを複雑にすると不正ログインは防げますが、覚えることができないというジレンマがあります。
実際に私もランダム文字列のパスワードを設定していますが、どのパスワードも記憶していません。
そこでパスワードを管理するには、アプリを利用することが必須となってきます。
私はロボフォームというアプリを使って、パソコンでもスマホでもタブレットでも、パスワードを記憶して共有してワンタッチでログインすることができます。
iphoneやMacといったApple製品ならicloudのキーチェーンがありますし、Google Choromeにもパスワード管理があるので、パソコンやスマホでパスワードの一元管理することができます。
自分の頭の中でIDとパスワードを記憶できればいいですが、凡人はこういったアプリを活用することが最良と考えます。
あなたのパスワード管理は大丈夫ですか?のまとめ
今回はパソコンやスマホのセキュリティで重要なパスワードについて記事を書きました。
前回の記事同様に、迷惑メール対策やパスワード管理はセキュリティを考える上でとても重要です。
特にあらゆるネットサービスで同じメールアドレスとパスワードを設定していると、芋づる式に不正ログインされてしまいます。
パスワードを危険なものを使っていたり、個人で推測されやすいものを使うことは厳禁です。
パスワードは英数字(大文字小文字含む)に記号を混ぜたもので12桁以上のものを使うと、ほぼ解読されないです。
メールアドレスの保護と複雑なパスワードを設定することで安全にネットサービスを使うことが出来ます。
また、フィッシングやキーロガーも、前の記事の迷惑メール対策することで引っかかりにくくなります。
コメント