会社の処方箋パスワードだけで大丈夫?管理者を悩ませるセキュリティ対策

キービジュアル

2022年6月27日

コロナ禍でテレワークやオンラインサービス活用などデジタルシフトが急速に進み、ログイン認証情報、機密情報、金銭などを盗み取ることを目的としたサイバー攻撃が急増しています。国内企業にも多くの被害が出て、各省庁やサイバーセキュリティに関わる組織が続々とセキュリティ対策に関する注意喚起を出す事態となっています。
パスワードは、言うまでもなくセキュリティを保つために必要不可欠な要素です。そのパスワードが、安易で推測されやすいものであったら、どうでしょうか?
今回はよく使われているパスワードや、最近よく耳にする多要素認証について考えてみます。

世界や日本でよく使われるパスワードランキング

パスワード管理ツール「NordPass」を提供するセキュリティ企業であるNord Securityは、2021年11月17日(米国時間)に「2021年で最も使われたパスワードのランキング」を発表しました。
Nord Securityはサイバーセキュリティインシデント調査を専門とする独立研究者と共同でパスワードを収集し、データベースを評価してランキングを作成。そこには各パスワードが使用された回数や攻撃者がクラッキング(パスワードクラック)に必要な時間も掲載されています。世界ランキングに加えて、50カ国の国別でもランキングを見ることができ、世界50カ国での1位は「123456」であり、日本での1位は「password」であることが分かりました。

世界50カ国で最も使用されたパスワードランキング
順位 パスワード クラッキングに必要な時間 使用回数
1 123456 1秒未満 103,170,552
2 123456789 1秒未満 46,027,530
3 12345 1秒未満 32,955,431
4 qwerty 1秒未満 22,317,280
5 password 1秒未満 20,958,297
6 12345678 1秒未満14,745,771
7 111111 1秒未満 13,354,149
8 123123 1秒未満 10,244,398
9 1234567890 1秒未満 9,646,621
10 1234567 1秒未満 9,396,813
日本で最も使用されたパスワードランキング
順位 パスワード クラッキングに必要な時間 使用回数
1 password 1秒未満 177,844
2 123456 1秒未満 157,799
3 123456789 1秒未満 100,367
4 12345678 1秒未満 88,014
5 1qaz2wsx 1秒未満 43,645
6 member 2分39,815
7 asdfghjk 1秒未満 39,797
8 12345 1秒未満 31,144
9 password1 1秒未満 29,854
10 1234567890 1秒未満 26,697

一見複雑そうに見えるパスワードも、キーボードの配列上では横または斜めに並んだ文字列であり、簡単なものであることがわかります。

また、ソリトンシステムズも2022年2月に「日本人のパスワードランキング2021」を発表。それによると第1位は「123456」で、これは同社がこの調査を開始した2020年から2年連続で1位です。2位は「password」、3位は「000000」、4位は「1qaz2wsx」、5位は「12345678」、6位は「123456789」、7位は「111111」、8位は「sakura」、9位は「dropbox」、10位は「12345」と続きます。Nord Securityが発表した日本のランキングと似ていますね。
しかも、このランキングは「2021年に発覚した209件の情報漏えい事件のデータから分析した」もの。つまり、流出したパスワードのランキングでもあるのです。

皆さんは、こういった安易なパスワードを使用していませんか?自身のパソコンやソフトウエア、サービスへのログインに使用するものはもう少し複雑なパスワードにしているかも知れません。しかし、サーバーやネットワーク機器、複合機、クラウドストレージサービスなどの管理者パスワードや共有機器のパスワードはいかがでしょうか?ドキっとした方は、ぜひこれを機会に見直しされることをおすすめします。

  • 当社にて設置・設定した機器においては、納品時に管理者IDやパスワードの重要性をお伝えし、お客さま自身での厳重な管理をお願いしております。

パスワードクラックとは?

パスワードクラック(パスワードクラッキング)とは、他人のパスワードを不正に割り出すことです。パスワードクラックによって不正ログインし、サイトの改ざんや個人情報を不正入手される被害が増えています。攻撃者は総当たり攻撃、逆総当たり攻撃などさまざまな手法を使ってパスワードを解読し、システムやWebサービスへの不正アクセスを試みています。これらの攻撃に対応するためには、パスワードを複雑化する・桁数を増やす、ある一定回数パスワード入力に失敗するとアカウントロックできるようにする、などの対策があります。

  • 総当たり攻撃(ブルートフォース攻撃)イメージ
    総当たり(ブルートフォース)攻撃は、攻撃者がユーザーIDを固定し、パスワードを何度も変更して不正ログインを試みる。
    「brute force」に「力ずくで」という意味があるように、あらゆるパターンを試行していく攻撃。IDを固定し、異なるパスワードを繰り返し試すことで不正ログインを試みる。
    試すパスワードのパターンを増やすためにパスワードを長く複雑にしたり、複数回間違うとアカウントをロックしたりするなどで対応。
  • 逆総当たり攻撃(リバースブルートフォース攻撃)イメージ
    逆総当たり(リバースブルートフォース)攻撃は、特定のパスワードを固定し、使用されていると思われるユーザーIDの文字列を組み合わせて不正ログインを試みる。
    ユーザーがよく設定しがちなパスワードからひとつを固定し、IDを変えながら何度も認証を繰り返していく。IDを固定しないため、パスワード間違いによるアカウントロック機能をかいくぐることができてしまう。
    複雑で推測されにくいパスワードを設定するほか、パスワードだけでなく複数の要素と組み合わせた多要素認証を採用することで対応。

このようにさまざまな方法による攻撃は、後を絶ちません。そのため私たちも多くの対応策を取っていますが、人に依存した対応策では限界があるのが実情です。そうした考え方から、パスワードだけではなく他の要素(秘密の質問・指紋・スマホなど)による認証を経ないとアクセスできないようにする仕組みが考え出されました。そのうち多要素認証とクライアント証明書をご紹介します。

多要素認証

多要素認証(Multi-Factor Authentication)とは、利用者の本人認証時に「複数の要素を用いて確認する」ことをいい、認証の3要素である「知識要素」、「所持要素」、「生体要素」のうち、2つ以上を組み合せて認証することを指します。

  • 知識要素

    パスワードや合言葉、秘密の質問など、知識として本人が知っている情報

  • 所有要素

    スマートフォンやICカードなど、本人が所持している情報

  • 生体要素

    指紋、顔、静脈など、本人の身体的特徴のうち大きく変化しない特徴

IDとパスワードの組み合わせが何らかの方法で他人に取得されてしまうと、本人になりすましてシステムやネットワークにログインされる危険性があります。また、ユーザーが複数のサービスで同じIDとパスワードを使い回していると、1つのサービスからIDとパスワードが流出した際に、ほかのサービスでも不正が実行される可能性があります。そのため、IDとパスワード以外に、別の認証要素を組み合わせることで、なりすましのリスク低減を図ることができます。
多要素認証は、流出したID・パスワードで悪意のある第三者がログインを試みた場合にも、所有情報(携帯電話やスマートフォンを使ったSMS認証やアプリ認証など)や生体情報(顔や指紋)などの他の要素がそろっていない限りログインを許すことがなく、不正ログイン防止策として期待され急速に導入が広がっています。

多段階認証

多段階認証は、多要素認証と非常に混同しやすいものです。多要素認証の中でも、2要素を使う認証のことを「2要素認証」と呼びますが、これに似た言葉として、「2段階認証」と呼ばれる認証方式があります。この2つは“認証を2回行う”という点では同じですが、「2要素認証」が認証の3要素のうち2要素を利用するのに対して、「2段階認証」は認証要素が1つの場合を指します。
例えば、ID・パスワード認証の後に「秘密の質問への回答」という認証を行うとします。この場合、認証は2回行っていますが、パスワードと秘密の質問はどちらも知識要素です。つまり、1つの要素しか使っていないので2段階認証となり、2要素認証ではありません。
この2つの認証方式にはさほど違いがないように見えますが、知識要素で認証を複数段階にしても、情報が漏えいすると簡単にログインできてしまうため、複数の要素を組み合わせる2要素認証(多要素認証)の方がより安全といえます。どちらが良いか迷われた場合には、多要素認証をお勧めします。

クライアント証明書

クライアント証明書とは、サーバーに認証要求を送信するためにクライアント端末で利用される電子証明書の一種です。サーバーとクライアントの認証システムを設計する上で重要な役割を果たし、認証を要求する端末が許可されたものであることを保証する役割を果たします。さらに、期限が切れた証明書や、内容が古く正確ではなくなった証明書を無効にすることもできるようになっています。
テレワークが浸透し社内ネットワークに外部からアクセスをさせる機会が増え、個人所有パソコンなど会社が許可してない端末からのネットワーク接続の被害が想定できます。また社員が紛失してしまった端末を使った不正アクセスも考えられます。こうした被害を防ぐため、有効な証明書をインストールした端末のみリモートアクセス可能にする仕組みを採用する企業が増えています。
正しい対象を認証・特定することでき、盗聴・なりすまし・改ざんなどを防止できるのです。

おまけ

パスワードを複雑な文字列にすればするほど覚えられない、何度も変更するから覚えきれないといって、パソコンにパスワードを書いた付箋紙を貼り付けたり、すぐ目に付くところにメモしたりするのはやめましょう。とても危険です!

パスワードをメモした付箋紙をパソコンに貼っている
「今どきそんなことしない」と思われた方も多いですよね。しかし、テレワークで自宅やサテライトオフィスなどで仕事をする場合は、ちょっと気が緩んでいませんか?そこでトラブルが起きては、せっかく日ごろから社員全員で気を付けていることが水の泡になってしまいます。
もはやデジタルよりアナログの方が安全なのでは?と思いメモをしてしまいがちですが、そこはぐっと堪えましょう。こうした一人ひとりの意識を変えていくことが大切ですね。

まとめ

複雑なパスワード設定、パスワードの定期的な変更、サービスごとのパスワード作成といったルールを策定し、きちんと社内に浸透させ運用できることが理想ですが、ルールが複雑になるほど運用が難しくなってしまうのが現実ではないでしょうか。それを補うために多要素認証、クライアント証明書による認証がビジネスシーンではよく見られるようになっています。
2022年4月1日に施行された改正個人情報保護法において漏えい時の罰則が厳重化されるなど、企業はこれまで以上に情報セキュリティ対策の見直しを迫られています。そうした見直しの際に、いかに管理者や従業員に負荷をかけ過ぎることなく安全にデータをやり取りできる環境を整えるかという視点で、パスワードポリシーの見直しと合わせて、多要素認証やクライアント証明書の導入を検討されてはいかがでしょうか。

関連情報

ソリューション・商品についてのご相談・見積・お問い合わせ

導入にあたってのご相談、資料請求、見積依頼など、各種お問い合わせは下記フォームにて受け付けております。

キヤノンシステムアンドサポート株式会社

ウェブサイトからのお問い合わせ