Webサービスの多くでは、ユーザーの本人確認にパスワードを採用している。そのパスワードを破られて、Webサービスを悪用されるケースが急増している。

 2007年以降、Webサービスを悪用して検挙された件数は、年間で1000件を超えている(図1)。内訳は、他人のユーザーIDとパスワードを使って不正にアクセスする「識別符号窃用型」がほとんど。一方、Webサービスを提供するWebサイトの脆弱性(セキュリティ上の欠陥)を悪用する「セキュリティホール攻撃型」はわずかだ。

図1●パスワード破りの検挙件数は年間1000件以上
図1●パスワード破りの検挙件数は年間1000件以上
不正アクセス禁止法違反による検挙件数の推移。警察庁の発表資料から作成した。検挙件数のほとんどは、パスワードを推測あるいは盗用して本人になりすます「識別符号窃用型」。Webサイトの脆弱性(セキュリティ上の欠陥)などを悪用して侵入する「セキュリティホール攻撃型」は少ない。
[画像のクリックで拡大表示]

 パスワード破りを防ぐには、パスワードをできるだけ複雑にすることが重要だ。だが、それだけでは不十分になっている。登録したパスワードが、Webサービスの提供者から流出する恐れがあるからだ(図2)。

図2●複雑にしても防げない場合がある
図2●複雑にしても防げない場合がある
パスワード破りのイメージ図。従来は、推測やツールを使ったパスワード破りが主流。最近では、これらに加えて、流出したパスワードを悪用した不正アクセスが懸念されている。後者では、パスワードを複雑にするだけでは防げない。
[画像のクリックで拡大表示]

 従来のパスワード破りでは、犯人は被害者の身近な人物であることが多い。2010年に不正アクセス禁止法違反で検挙された被疑者の5割強が、被害者の顔見知りだった。犯人は被害者の個人情報をある程度知っているので、家族やペットの名前といったパスワードを設定していると、推測されて破られてしまう。

 見ず知らずの攻撃者に狙われることもある。攻撃者の多くは、単に推測するだけではなく、パスワード破りのツールも使う。

 ツールは、パスワード破り専用の辞書を備えている。その辞書には、一般の辞書に載っている単語に加え、パスワードに設定されることの多い文字列が収められている。このため、ありきたりな単語をパスワードにしていると簡単に破られてしまう。

 以上のような従来のパスワード破りを防ぐには、パスワードを複雑にすることが第一。自分の個人情報に関する文字列や、辞書に載っている単語などは避け、第三者には一見無意味に思える文字列にすることが不可欠だ。