WebメールやネットオークションといったWebサービスのほとんどで、本人確認の手段として使われているパスワード。登録されているユーザーIDとパスワードの組み合わせを知っているかどうかで、ユーザー本人かどうかを確認する。たとえ別人でも、ユーザーIDとパスワードさえ合っていれば、本人だとみなされてアクセスを許される。

 このため、他人には分からないようなパスワードを設定し、適切に管理することは情報セキュリティの基本。容易に推測できるパスワードを設定したり、誰でも読める場所に書き留めておいたりしたら、自分になりすました第三者に、Webサービスを悪用されてしまう。

 実際、パスワードを破られて被害に遭うケースは後を絶たない。警察庁によれば、アクセスを許されていない第三者がWebサービスなどを悪用する「不正アクセス」のほとんどが、「識別符号窃用型(パスワード破り型)」によるものだという(図1-1)。2006年には、Webサービスで使われているソフトウエアの欠陥(ぜい弱性)を悪用する「セキュリティホール攻撃型」は0件。不正アクセスの検挙件数すべてが、パスワード破りだった。

図1-1●不正アクセスのほとんどはパスワード破り
図1-1●不正アクセスのほとんどはパスワード破り
警察庁では、不正アクセスの種類を「識別符号窃用型」と「セキュリティホール攻撃型」の2つに大別して、年ごとの検挙件数を公表している。前者は、パスワード(識別符号)を推測あるいは盗用してなりすますもの(いわゆる、パスワード破り)。後者は、ソフトウエアのぜい弱性(セキュリティホール)を突いて、ユーザー認証を回避するもの。検挙件数で見る限り、不正アクセスのほとんどすべては、パスワードを破るものになっている。

詐欺に悪用される

 パスワード破りの標的になるのは、お金がからむサービス。ここ数年は、ネットオークション関連の検挙件数が最も多い(図1-2)。典型的な手口は、正規ユーザーになりすまして架空の出品をし、落札者から代金を詐取する「空出品詐欺」。

図1-2●お金がらみのサービスが狙われる
図1-2●お金がらみのサービスが狙われる
2005年および2006年に検挙された「識別符号窃用型(パスワード破り型)」の不正アクセスで悪用されたサービスの内訳。2005年と2006年のいずれについても、最も多いのはネットオークション。ユーザー数の増加やリアルマネートレード(RMT)などの影響で、オンラインゲームを舞台にしたパスワード破りも急増している。

 最近急増しているのは、オンラインゲームのパスワード破りだ。その背景には、リアルマネートレード(RMT)がある。RMTとは、オンラインゲームのアイテムなどを、現実の通貨と交換すること。犯罪者はパスワードを破って他人のアイテムなどを奪い、RMTで金銭に換える。

 Webメールにも危険が潜む。プライバシーの問題だけではない。会社のアドレスあてのメールを転送している場合には、業務データを盗まれる恐れがある。

理想論を捨てよう

 ユーザーの多くは、パスワードを破られることの危険性を分かっているはず。しかしながら、安易なパスワードを設定している人は少なくない。単に「面倒くさい」という理由もあるだろうが、Webサービスを提供する企業や、セキュリティの教科書などの要求が厳しすぎることも原因の一つだと考えられる(図1-3)。

図1-3●理想論が招く「弱いパスワード」
図1-3●理想論が招く「弱いパスワード」
書籍などに書かれている「強いパスワードの作り方」は、総じて厳しい。実践すれば強いパスワードを作れるだろうが現実的ではない。要求が厳しすぎるために「思考停止」に陥って、結局、覚えやすさだけを重視した安易なパスワードを付けるケースが多いと考えられる。

 パスワードの理想論は、セキュリティのみを考慮して、ユーザーの利便性を考えていない。このため、「どうせできっこない」とあきらめて、安易なパスワードを設定しがちだ。そんなユーザーのパスワードが、真っ先に破られる。

 それならば、いっそのこと理想論を捨てよう。「ベスト」を望むあまり思考停止に陥っているようなら、実現可能な「ベター」なパスワードを考えるべき。この記事では、その手助けとなる現実的なコツをいくつか紹介する。もちろん、「絶対破られない」とは保証できない。しかし、破られる危険性を確実に減らせる。理想論ではなく、現実的な「最強のパスワード」を作ろう。