パスワード使いまわしていませんか?漏洩事故に怯えず安全にWebサービスを使う方法を解説
- 公開日
目次
はじめまして、SmartHR 取締役 副社長 CIO(最高情報責任者)の内藤研介です。
最近、国内大手のファイル共有サービスが不正アクセスを受け、利用者の「平文パスワード」が流出する事件がありました。
万が一このようなサービスを利用されており、かつ、パスワードを使いまわしている場合は、大変危険な状態です。ただちにパスワードを変更しましょう。
この記事では、なぜパスワードの使いまわしが危険なのかを、パスワードの基本的な仕組みと共に解説します。あわせて、より安全に Web サービスをご利用いただく方法もご紹介します。
この機会に、ご利用中のサービスのセキュリティ設定を見直してみませんか?
「パスワードの使いまわし」が危険な理由
よく「パスワードの使いまわしは NG」なんてことを目や耳にします。なぜでしょうか?
パスワードを使いまわしていた場合、1 つのサービスからパスワードが流出すると、たとえ他のサービスがパスワードを安全な方法で保存していたとしても、悪意を持った人間が「他のサービスでも同じパスワードを使っていないかな」と攻撃を試み、簡単にログインできてしまうのです。
パスワードの使いまわしを避けるのは、利用しているサービスが情報流出した際のダメージを最小限とするための防衛手段なのです。
情報の 3 つの形式「平文・暗号化・ハッシュ化」
大切な情報は、万が一流出した場合や盗難された場合でも、それがどのような情報なのか悪意ある人間が理解できないように加工することが重要です。
人間が理解できない形に情報を加工する手段として「暗号化」と「ハッシュ化」という 2 つの方法があります。
ちなみに、これらと対比して、人間が理解できる形式の情報のことを「平文」といいます。先日、大手ファイル共有サービスから流出したパスワードも平文で保存されていました。
平文で保存されている情報が悪意ある人間の手に渡った場合、容易に利用されてしまいます。
「暗号化」と「ハッシュ化」との違い
「暗号化」した情報は元に戻せます(「復号化」といいます)が、「ハッシュ化」した情報は元に戻せません。これは、どういうことなのか?
例を挙げてみます。
「暗号化」の例
「こんばんのおかずはからあげです」という文章を「それぞれの文字を五十音順で 1 つ後ろにずらす」というルールで変換してみます。
「さあびあはかきぜひきりいぐどせ」
この文章を見ただけでは、すぐには理解できないですね。
ただし「それぞれの文字を五十音順で 1 つ後ろにずらす」というルールさえ知っていれば元の文章に戻せます。
「ハッシュ化」の例
一方で元の文章を「3 の倍数の位置の文字だけを抽出する」というルールで変換するとどうなるでしょうか。
「こん(ば)んの(お)かず(は)から(あ)げで(す)」→「ばおはあす」
この文章も、何を表しているのか理解できません。「ハッシュ化」が「暗号化」と異なるのは、たとえ「3 の倍数の位置の文字だけを抽出する」というルールを知っていたとしても、元の文章には戻せない点です。
【Tips】暗号化もハッシュ化も、実際にはもっと複雑な方法で実施されます
パスワードはハッシュ化されて保存されるのが一般的。けれども・・・
「暗号化」の用途は何となくイメージしやすいと思います。一方で「ハッシュ化」はどのような時に使われるのでしょうか。
ハッシュ化はその特性を活かし「内容を誰にも知られたくないけれど、元の情報に復元する必要がない」時に利用されます。
具体的には、例えば通常 Web サービスのパスワードはハッシュ化して保存されています。
Web サービスへのユーザ登録時にパスワードを入力すると、ハッシュ化されたパスワードがデータベースに保存されます。その後、ユーザがログインする際には入力したパスワードを再びハッシュ化し、その結果と保存されている値とを見比べることで認証を行います。
このように、ハッシュ化された情報として保存することで、本来の目的である認証に活用できる一方で、万が一情報が流出した場合や、悪意ある人間がデータベースをのぞき見した場合でも、元々のパスワードを知られてしまうリスクを大幅に減らせるのです。
そのため、Web サービスではパスワードはハッシュ化して保存されるのが本来あるべき対応です。
しかし、一方で世の中にはパスワードを平文で保存している Web サービスも少なくありません。
(もちろん SmartHR はパスワードを十分に強力な方式でハッシュ化しています!)
安全に Web サービスを利用するための 3 つの方法
ユーザが安心してサービスを利用するために、本来であれば Web サービスの提供者が強固なセキュリティ対策を施す必要があります。しかし、ユーザ側にもより良い自衛の手段は残されています。
(1)パスワードを使いまわさない
記事の冒頭でも述べた通り、パスワードの使いまわしはとても危険です。
セキュリティ対策をしている Web サービスではパスワードはハッシュ化して保存されています。そのため、万が一パスワードが流出したとしても、そこから本来のパスワードを推測するのはとても困難です。
しかし、前段でも述べたように Web サービスによっては、パスワードを平文で保存しているものもあります。また、ハッシュ化されていた場合でも、その方法が不適切で、元のパスワードを特定できてしまう場合もあります。
困ったことに、一般のユーザは、利用している Web サービスのパスワードが、適切にハッシュ化され安全に管理されているかどうかを確かめる手段がありません。
また、往々にしてこのようなサービスではセキュリティが甘く、情報流出の危険性が高くもあります。
パスワードを使いまわしていた場合、1 ヶ所でもこのようなサービスから流出すると、たとえ他のサービスがパスワードを安全な方法で保存していたとしても、悪意を持った人間が簡単にログインできてしまうのです。
パスワードの使いまわしは避けましょう。
(2)強力なパスワードを使う
簡単に推測できるパスワードは個別の攻撃にとても弱いです。
また、サービスから情報流出した場合、たとえパスワードをハッシュ化して保存していたとしても、ハッシュ化が不十分であったり、元の情報が一般的な言葉であったりすると、簡単に推測されることが考えられます。
このような事態を避けるためにも強力なパスワードを利用しましょう。
パスワードを強化する例
- 辞書に掲載されている言葉を使わないこと
- 誕生日など容易に推測できる情報を使わないこと
- 十分に長いこと(最低でも 8 文字以上推奨)
- 大文字、小文字、数字、記号など様々な文字種を使うこと
(3)二段階認証を設定する
サービスによっては ID とパスワードの組み合わせ以外に、さらに追加のセキュリティコードを入力することによってセキュリティを強化するものがあります。
例えば、オンラインバンクではログイン時には ID とパスワードを入力し、振込時にワンタイムパスワードを入力させるものもあります。
これにより、万が一 ID とパスワードが流出した場合でも、預金を守れるのです。
パスワード管理ツールのススメ
パスワードを使いまわさない、強力なパスワードを設定する、二段階認証を設定する……。
理解していても実践するのは面倒なものです。利用するサービスが数個程度なら問題はありませんが、仕事や SNS やアプリなど、多くのサービスを利用する現代では自力での管理には限界があります。
パスワード管理ツールはこの問題を解決してくれます。
各社から様々なパスワード管理ツールが提供されている中で、筆者は「1Password」というツールを長年利用しています。Mac や Windows はもちろん、モバイル端末にも対応しており、とても使いやすいです。
簡単に複雑なパスワードを生成でき、また QR コードを使ったのワンタイムパスワードの管理にも対応しています。その他にも登録している Web サービスに漏洩の危険性があった場合などに警告してくれる機能があったりと、とても高性能なパスワード管理ツールです。
おわりに
繰り返しになりますが、パスワードの使いまわしは非常に危険です。
手間なく安心に Web サービスを利用する上で、パスワード管理ツールの導入を検討するなど、漏洩事故への対策を推奨します。
