朝ドラ「半分、青い。」に見るパスワード管理! 長いだけじゃダメ?

パスワードが推測される?(写真:アフロ)

NHKで人気の朝ドラ「半分、青い。」で、新規開発に取り組み、やっとの思いで完成にこぎつけた「そよ風扇風機」が盗まれるというシーンがありました。試作品の扇風機自体とともに、パソコン内の設計仕様書等のデータを盗もうとして、パスワードを入力するのですが、いとも簡単に推測されてしまうのです。具体的には "suzumenonamida"というパスワードだったのですが、ドラマとは言え、昨今のパスワードセキュリティについて大きな示唆を与えています。

パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。

出典:記号は不要 推奨するパスワード、方針転換の理由【日本経済新聞】

まず第一に長いパスワードの推奨です。上記の記事にありますようにJPCERT/CCが12文字以上のパスワードとして、例えば、自分だけが思いつく3つの単語の連接(つなぎ合わせ)をパスワードにするように推奨しています。今までは8文字以上で、英数記号、大文字小文字を組み合わせて、無意味な文字列を推奨し、例えば geJH4%f2のような文字列でした。なぜ方針転換したのでしょうか。それは一般の人がパスワードを使いこなす場合、無理な推奨だったからです。そのような無意味な文字列を作るのも面倒なのですが、さらに覚えるのも面倒です。結局作りやすく、覚えるのも簡単な文字列で、8文字という制限だけ守ってしまうのです。無意味な文字列が作れないのであれば、推測され難いために、せめて文字数だけでも長く設定するように推奨を変更したのです。しかし、この変更もJPCERT/CCの思惑通りに進まないかもしれません。やはり12文字以上だけが守られて意味のある覚えやすい文字列が使われるためです。 長くなれば長くなるほど、覚えやすい意味のある「文」になるものです。"suzumenonamida"も12文字以上ですが、主役の名前「鈴愛」から容易に推測される「文」であり、ドラマでは推測が成功しています。

さらに朝ドラでは、容易に推定されたのは主役が前勤務先で用いていたパスワードであるが故だと嘆いているシーンがありました。いわゆる「パスワードリスト攻撃」のようなものです。正確に言えば、「パスワードリスト攻撃」とは過去に漏えいしたことのあるパスワードと、利用するサービスが異なっても、同じパスワードを現在でも使っている場合、過去に洩れたIDとパスワードを使って攻撃、不正アクセスされるものです。現在、スマートフォン(スマホ)の圧倒的普及に伴って、ネットショッピングやネットバンク等によるネット決済が一般化し、インスタグラムであれ、ツイッターであれ、様々な情報が意識することなくクラウド上に上げられるようになりました。それらを守るために多数のパスワードが用いられています。同じパスワードを使っていると、その一つが洩れただけで、すべてに対して不正アクセスが行われ、大きな損害を被るのです。最近、パスワードの定期更新が不要であると様々なサイバーセキュリティ関連機関からコメントされています。

日本経済新聞が26日付で掲載した、パスワードの定期変更が不要であり、かえって危険であると総務省が注意喚起を始めたことを報じる記事が、大きな話題となっている。

出典:日本もようやく……「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に【INTERNET WATCH】

これも突き詰めれば、パスワードリスト攻撃への対策なのです。利用している多数のパスワードサービスをすべて異なるパスワードにするだけでも大変なのに、さらに定期変更で異なるパスワードを強いることで、結局、いくつかのパスワードを使いまわすことになってしまい、パスワードリスト攻撃に対して極めて脆弱になってしまうのです。

朝ドラでは、パソコンから盗まれた情報は、幸いにも悪用されることなく戻ってきました。しかし実際には誰が、その重要な情報を盗んだかわからず、それどころか盗まれたこと自体、わからないことが多いのです。パスワードは推奨される、その作成および利用方法を忠実に守って、注意深く使えば十分に安全です。しかし何事にも「絶対」はなく、より安全が確実に保障されるためにも、二要素認証等、パスワードを補う方式の利用が望まれます。サイバーセキュリティに「半分、安全。」はありません。