Webサービスの多くでは、ユーザーの本人確認にパスワードを採用している。そのパスワードを破られて、Webサービスを悪用されるケースが急増している。
2007年以降、Webサービスを悪用して検挙された件数は、年間で1000件を超えている(図1)。内訳は、他人のユーザーIDとパスワードを使って不正にアクセスする「識別符号窃用型」がほとんど。一方、Webサービスを提供するWebサイトの脆弱性(セキュリティ上の欠陥)を悪用する「セキュリティホール攻撃型」はわずかだ。
パスワード破りを防ぐには、パスワードをできるだけ複雑にすることが重要だ。だが、それだけでは不十分になっている。登録したパスワードが、Webサービスの提供者から流出する恐れがあるからだ(図2)。
従来のパスワード破りでは、犯人は被害者の身近な人物であることが多い。2010年に不正アクセス禁止法違反で検挙された被疑者の5割強が、被害者の顔見知りだった。犯人は被害者の個人情報をある程度知っているので、家族やペットの名前といったパスワードを設定していると、推測されて破られてしまう。
見ず知らずの攻撃者に狙われることもある。攻撃者の多くは、単に推測するだけではなく、パスワード破りのツールも使う。
ツールは、パスワード破り専用の辞書を備えている。その辞書には、一般の辞書に載っている単語に加え、パスワードに設定されることの多い文字列が収められている。このため、ありきたりな単語をパスワードにしていると簡単に破られてしまう。
以上のような従来のパスワード破りを防ぐには、パスワードを複雑にすることが第一。自分の個人情報に関する文字列や、辞書に載っている単語などは避け、第三者には一見無意味に思える文字列にすることが不可欠だ。