パスワードの使い回しは危険!リバースブルートフォースアタックに要注意

今は便利なサイトやWEBサービスがたくさんあります。あなたもFacebookやTwitterなどのSNSを楽しんだり、ブログを書いたり、インターネットバンクを使ったりと様々な会員制サイトを利用していると思います。

でももしもどれか1つのログインIDとパスワードを盗まれて、不正アクセスされてしまったどうしますか?とても困りますよね。ただいらずらされるだけならまだ良い方です。インターネットバンクでお金を盗まれてしまうなんて事件も発生しています。

7割以上の人がパスワードを使いまわしている現状

簡単なパスワードを使っていると、あっさりと見破られてしまいます。とある調査では70%以上の人が、安全なパスワードを使うことを意識しています。小文字だけ、あるいは数字だけのパスワードを設定していると本当に危険です。だから大文字や記号を組み合わせたパスワードを使うべきです。

しかしながら「複数のサイトでパスワードを使いまわさないようにしているか?」という調査では、わずか22.4%の人しか意識していないことがわかりました。つまり7割以上の人が色々なサイトでパスワードを使いまわしているのです。

ブルートフォースアタックと辞書攻撃とは

不正アクセスを狙う手法として有名なのはブルートフォースアタックと辞書攻撃です。ブルートフォースアタックとは総当たり攻撃とも呼ばれ、文字や数字をすべて試していく攻撃手法です。数字だけの単純なパスワードや短いパスワードだと、ブルートフォースアタックですぐに破られてしまいます。対策としては長いパスワードや小文字、大文字、数字、記号を組み合わせたパスワードを使うことです。

辞書攻撃とは、その名の通り辞書に載っているような単語を使う手法です。「apple」「orangejuice」など意味のある単語を狙っていくわけです。対策としてはランダムで意味のないパスワードにすることです。

リバースブルートフォースアタックによる被害が急増

このようにブルートフォースアタックや辞書攻撃を意識している人でも被害にあってしまうケースが増えています。2013年以上に登場したリバースブルートフォースアタックが原因です。

ブルートフォースアタックや辞書攻撃はログインIDを固定して、パスワードを色々なパターンを試します。しかしリバースブルートフォースアタックは逆にパスワードを固定して、色々なパターンのIDを試す手法です。

例えばTwitterはIDが見えています。プログラムでIDのリストを作成し、パスワードを固定してすべてのIDに不正アクセスを試すわけです。2015年に流行した「レイバンのサングラス事件」はこれが原因だと言われています。

使い回しを狙われている

運悪くどこかのサイトでパスワードが漏れたとしましょう。攻撃者はパスワードのリストを所持したことになります。もしもあなたが色々なサイトでパスワードを使い回しているなら、あとはIDを特定するだけです。

例えばTwitterから漏れたなら、Facebook、AppleID、インターネットバンクなどあらゆる会員制サイトで、リバースブルートフォースアタックが実施されます。つまりパスワードを使い回すことで、金銭的な被害を受ける可能性が急上昇してしまいます。

リバースブルートフォースアタックの対策

ではリバースブルートフォースアタックを防ぐ方法はあるのでしょうか。逆説的に考えてみましょう。「パスワードの使い回し」が狙われるなら、使い回されないようにすればいいのです。

パスワードを定期変更する

パスワードはどこから流出するかわかりません。小規模な通販サイトかもしれませんし、昔登録したWEBサービスかもしれません。もうこれはパスワードは流出するものだ、と考えるべきでしょう。

最も有効なのはパスワードの定期変更です。毎月とまでは言いませんが3ヶ月から半年に1回は定期的にパスワードを変更することをおすすめします。少なくともインターネットバンクやAppleID、クレジットカード会員サイトなど金銭に関わる重要なサイトは必ず定期変更するようにしましょう。定期変更すれば流出したとしても、そのパスワードは使えなくなっているので安全です。

サイト別にパスワードを変更する

私はパスワードを使い回さないように意識しています。だからサイトごとに別々のパスワードを設定しています。もちろんブルートフォースアタックや辞書攻撃にもかからないような複雑なパスワードにしています。もしもどこかからパスワードが流出しても、別のサイトでリバースブルートフォースアタックで被害にあうことはありえません。

パスワード管理ソフトを使う

でもサイト別にパスワードを設定したら覚えられないですよね。忘れてしまい、その度にパスワードの再設定をするのも不便です。そこでおすすめなのがパスワード管理ソフトです。パスワード管理ソフトはとても便利なのに、6%の人しか使っていないそうです。

1passwordは特に有名で世界中で愛用されています。サイト別にパスワードを登録しておいて、サイトにアクセスすればそのパスワードを自動的に読み込んでくれるので手間がかかりませんし、忘れても関係ありません。

ソフトをインストールするのが面倒ならGoogle Chromeのブラウザはどうでしょうか。Chromeにはパスワード管理機能が内蔵されています。パスワード管理ソフトと同じように使えるだけでなく、動作が軽快でおすすめです。

SNSでもご購読できます。