やさしく 学ぶ 情報セキュリティ。

〇 ネットサービスなどで必要なパスワード、その安全を手間を掛けずに守るには。

パソコンやスマートフォン、ネットサービスは便利だが、不用意な使い方をすると、情報の流出やなりすましなどのトラブルに巻き込まれることがある。安全に利用するためには、情報セキュリティの知識が欠かせない。本講座でその基本を確認しよう。今回は、ネットサービスなどで必要になる「パスワード」について解説する。

ネットのサービスを利用する上で重要なのは、パスワードを守ることだ。基本は2つ。サービスごとに異なるパスワードを使うこと。それぞれのパスワードを複雑にすること。これらを両立させて管理するのは大変だが、実はWebブラウザーの機能を使えば難しくない（図1）。

Θ パスワード管理はWebブラウザーで。

図1、重要なのは、サービスごとに異なるパスワードを設定することと、パスワードは複雑にすること。管理はWebブラウザーに任せよう。

他人にパスワードを知られると、サービスを悪用されて、自分や他者が害を被る可能性がある（図2）。また、複数サービスで同じパスワードを使い回すと、1組のIDとパスワードが知られるだけで、ほかのサービスまで芋づる式に悪用されてしまう恐れがある（図3）。

Θ パスワードが流出すると一大事。

図2、攻撃者にパスワードを知られると、自分になりすましてサービスを悪用されてしまう可能性がある。その場合の被害は個人情報、金銭、社会的な評判にまで及ぶ。

 

図3、複数のサービスで同じパスワードを使い回すのも厳禁。1つのアカウントの情報が知られるだけで、芋づる式に複数のサービスが乗っ取られる可能性がある。

パスワードは狙われている。

他人のアカウントの悪用を狙う攻撃者は、さまざまな方法でパスワードの関門を破ろうとする（図1）。

図1、攻撃者がパスワードを破る手段は複数ある。おおむね、数多くのパスワードを試す方法と、本人やサービス運営側から情報を奪う方法に分けられる。

標的となる個人について情報を集めるといった方法だけでなく、辞書攻撃や総当たり攻撃のように、専用のプログラムを使って機械的に試す攻撃手法も使われる。パスワードを複雑にすることは、推測やプログラムによる攻撃を困難にするので、有効な防御策となる。

一方、ユーザーが偽のログイン画面にだまされてパスワードを入力してしまったり、サービス運営側が攻撃を受けてユーザーの情報が漏洩してしまったりする事例もある。こちらは、パスワードを複雑にしても効果がない。

過去のユーザー情報の漏洩や、非合法な情報を扱うネットワークでやり取りされている情報などを基に、自分のログイン情報が漏れていないかを、確認できるWebサイトもある（図2）。

図2、セキュリティ研究者トロイ・ハント氏が運営している診断サイト。メールアドレスを入力するとアカウント情報の漏洩を確認できる。

破られにくいパスワードを使う。

パスワード管理アプリを開発するNordPassは、世界で多く利用されたパスワードのリストを公開している。図1は日本のトップ10だ。そのほとんどは、攻撃プログラムを使うと1秒未満で破られるという。

図1、NordPassによると、単純なパスワードが多いようだ。

安全で複雑なパスワードは、英数記号を不規則に組み合わせるか、無関係で意味が通らない単語をつなげるのがよいとされている（図2）。どちらの場合も、文字数は多い方がよい。12文字以上が望ましいとする意見もある。

図2、文字をランダムに並べる方法と、無関係な単語を並べる方法がある。

生成や記憶はWebブラウザーに任せる。

複雑なパスワードは、自力で作るのも覚えるのも難しい。サービスごとに異なるものを使うなら、なおさらだ。

自力での負担が大きいなら、道具を使えばよい。例えば、グーグルのWebブラウザー「Chrome」には、複雑なパスワードを生成したり（図1）、保存したりする機能がある（図2）。保存した情報は、同じWebサイトにログインするとき、自動で入力される（図3）。

図1、Chromeでは、情報を保存していないWebサイトのパスワード入力欄で、パスワードを生成して提案する。クリックすると入力される。

 

図2、パスワードを入力すると、ユーザー名（ID）とセットで保存される。

 

図3、情報を保存済みのログインページを開くと、ユーザー名やパスワードが自動で入力される。

なお、パスワード生成などの機能を使うには、Chrome自体にGoogleアカウントでログインしている必要がある（図4）。ログイン状態だと、保存した情報をサーバーにも同期できる。

図4、ツールバーのユーザーアイコンでログインと同期の状況が分かる。パスワードマネージャーも呼び出せる

[画像のクリックで拡大表示]

　同様の仕組みはマイクロソフトのWebブラウザー「Edge」も備える。こちらも、Edge自体にMicrosoftアカウントでサインインする必要がある。

Webブラウザーに保存した情報を確認。

Webブラウザーが保存した情報は、アプリの設定画面内にある管理画面で一覧表示したり、内容を確認、修正したりできる。Chromeでは「パスワードマネージャー」という画面を使う（図1、図2）。ユーザー名やパスワードはコピーできるので、サービスごとの公式アプリを使うなど、Webブラウザー以外でパスワードの入力が必要になったときも、あまり手間は掛からない。使っているパスワードの安全性を調べる機能もある。

図1、Chromeのパスワードマネージャー。IDとパスワードを保存しているWebサイトが一覧で並んでおり、クリックするとそれぞれの情報を確認できる。

 

図2、Webサイトごとの情報表示。ユーザー名やパスワードのコピー、パスワードの確認、情報の修正などができる。複数アカウントも保存される。

なお、Chromeのパスワードマネージャーは、「ショートカットを追加」でアプリのように利用することもできる。

パソコンのロック機能で安全を確保。

Webブラウザーによるパスワードの保存や自動入力は便利だが、パソコンを他人に操作されると、勝手に情報を見られたり、サービスにログインされたりする危険性がある。その対策として、保存した情報を見る際には通常、Windowsの生体認証機能（Windows Hello）などを利用した本人確認が必要となる。

ChromeやEdgeでは、パスワードの自動入力に関しても、OSの機能による本人確認を求める設定が可能だ。Windows版のChromeでは、パスワードマネージャーのメニューから設定画面を開き（図1）、「Windows Helloを使用してパスワードを入力する」の設定を有効にする（図2）。すると、自動入力が候補選択に変わり、Windowsによって、顔認証などの生体認証（もしくはPIN入力）を求める画面が出るようになる（図3）。

図1、Chromeではパスワードマネージャーのメニューから「設定」を選ぶ。

 

図2、設定画面の「Windows Helloを使用してパスワードを入力する」のスイッチをクリックしてオンにする。

 

図3、ログイン情報を自動入力するとき、Windows Helloによる本人確認（生体認証やPIN入力）が求められ（左）、確認後、「OK」ボタンで入力される（右）。

もちろん、自分のパソコンを他人が勝手に使えないようにする対策も大切だ。

スマートフォンとも連携する。

Webブラウザーの同期機能によってサーバーに保存された情報は、スマートフォンの同じアプリでも利用できる。もちろん、スマートフォンのアプリで保存した情報も、パソコンで利用できる。

スマートフォンでは、OS全体のパスワード管理機能の一部として、ChromeやEdgeのパスワード管理機能を連携させることもできる（図1、図2）。Webブラウザー以外のアプリでも自動で入力されるようになるので便利だ。なお、Androidは標準だとChromeの情報を利用する。

図1、Androidでは、「自動入力サービス」に設定したアプリの情報を使って、ログイン画面の自動入力ができる。

 

図2、iOSでは、標準の「iCloudパスワードとキーチェーン」とほかのアプリ1つを自動入力に併用できる。