見えないから、怖い。
分からないから、怖い。
セキュリティに関する問題は、「いつ何が起こるかわからない」という点にあります。
たとえば、パスワードが流出したとしても、その瞬間に気づけるとは限りません。
多くの場合、被害が出てから初めて異変に気づきます。
当サイトでは、初心者の方がパソコンやインターネットを安全・快適に使えるように、基本的な使い方を分かりやすく解説してきました。
この記事では、主にパスワードを中心に個人情報流出の原因・対策について解説していきます。
〈この記事を読んでわかる内容〉
パスワード流出に有効な対策
流出したかチェックする方法
パスワードの安全な管理方法
パスワード情報の流出が起きても、必ずしも被害を被るとは限りません。
現状を確認しつつ、落ち着いて対処することが大切です。
また何も起きていなくても、いまのうちに、個人でできることを整理しておきましょう。
1. パスワード流出の対策は?
パスワード流出の原因は、大きく分けて次の2つです。
・自分自身の管理ミス
・サービス提供者側の流出事故など、個人では防ぎきれないもの
ここで大事なことは、「個人の対策だけで完全に防ぐことはできない」という点です。
そのため、セキュリティ対策では、「流出したときに被害を最小限にする」という視点も大事になってきます。
「では、どうすればいいのか?」
以上を踏まえたうえで、一般的に言われているパスワード管理の方法を、あらためて見直していきましょう。
1-1. 「使いまわし」が危険な理由は?
ひとつのサービスで流出したパスワードは、他のサービスでも不正ログインが試されます。
「1か所の事故が、連鎖的な被害につながる」という状態を作ってしまいかねません。
また、この状態だと、どのサービスが流出の発端だったのかを特定できなくなってしまいます。
自分の管理ミスなのか?
サービス側の事故なのか?
こういった原因を切り分けることができなくなる可能性があるのです。
使いまわしは、被害の「入口」だけでなく、被害の「原因究明」まで曖昧にしてしまいます。
1-2. 「複雑なパスワード」にする理由は?
悪意のある攻撃者は、ツールを使って大量のパターンを自動的に試します。
これがいわゆる「総当たり攻撃」や「推測攻撃」です。
ニュースなどで見かける「顧客情報の流出」。
まさに、こういった事態が想定されています。
多くのサービスでは、数回ログインに失敗するとアカウントがロックされます。
そのため、「総当たり攻撃なんて、現実的には起きないのでは?」と思うかもしれません。
しかし、ここで想定されているのは個人アカウントへの攻撃だけではありません。
「顧客情報の流出」では、次のようなことが起こりえます。
1️⃣ サービス側には、暗号化されたパスワードデータが保存されている
2️⃣ 攻撃者は、サービス全体のデータを不正に入手する
3️⃣ その後、手元で暗号を解読し、元のパスワードを探す
一般的に、サービス側に生パスワードがそのまま保存されることはありません。
その代わり、暗号化された形で管理されています。
そのため、元のパスワードが複雑であるほど、解読されにくくなり、この対策が有効になります。
このような事態に対して、個人で最低限できる対策が「複雑なパスワードを使うこと」です。
1-3. 「管理ソフト」を使う理由は?
以下のような、安全に使うための対策を、すべて手動で行うのは現実的ではありません。
パスワードを使いまわさない
複雑なパスワードを作る
安全に保管する
使いやすいように整理する
他人の覗き見を防ぐ
セキュリティ対策は、仕組みで防ぐことが大切です。
管理ソフトは、そのための現実的な解決策になります。
管理ソフトの機能性や有効性については、あとの章で触れていきます。
2. パスワード流出をチェックする方法
実際のところ、個人のパスワード流出のすべてを、正確に確認する方法はありません。
ただし、チェック手段を持っておくことは重要です。
2-1. チェックツールを使う|Have I Been Pwned(HIBP)
「Have I Been Pwned」 とは、ログイン情報の流出をチェックできるサービスのことです。
自分のメールアドレスやパスワードを入力することで、過去に発生した大規模な情報漏洩データと照合することができます。
つまり、外部のサービスで発生した情報漏洩事故に巻き込まれていないかを調べるためのものです。
無料で利用することができる、信頼性の高いサービスです。
使い方もシンプルで、Webサイトにメールアドレスなどを入力するだけで確認することができます。
Have I Been Pwned で、何がわかる?
次のような情報を、確認することができます。
自分のID情報が、過去の漏洩事故に含まれているか
どのサービスから流出した可能性があるか
どの程度の情報(メール・パスワードなど)が含まれているか
信頼できるサイトなの?
Have I Been Pwned は、セキュリティ研究者によって運営されているチェックサービスです。
政府機関や多くの企業でも利用されており、世界的に広く知られています。
メールアドレスのチェックでは、過去に漏洩したデータベースと照合するだけで、入力した情報がそのままサーバーに保存されることはありません。
また、パスワードのチェックについても、入力した文字列そのものが送信されない仕組みになっています。
パスワードの一部情報だけを使って照合するため、安全性に配慮されています。
どうやって調べる?
実際の使い方は、とても簡単です。
1️⃣ Have I Been Pwned のサイトを開く
2️⃣ 自分が使っているメールアドレスを入力
3️⃣ 「check」をクリックして、結果を確認する
下の画像が、「Have I Been Pwned」のトップページです。
英語がわかりにくければ、ブラウザの翻訳機能などを使用すれば、簡易的に日本語表記で読むことができます。
2-2. セキュリティ通知を確認する
各サービスのセキュリティ通知を有効にしておくことは、安全管理においてとても重要です。
特に、個人情報や決済情報を扱うサービスでは、ログイン通知の設定をしておくことで、異変に早く気づくことができます。
身に覚えのないログイン通知が届いた場合に、被害が大きくなる前に対処できる可能性が高まります。
ただし最近では、セキュリティ通知を装ったフィッシングメールが送られてくるケースも増えています。
そのため、「通知メールのリンクは直接クリックしない」という意識も大切です。
通知メール内のリンクではなく、公式サイトや公式アプリからログイン状況を確認すると、より安全です。
少しややこしく感じるかもしれません。
それでも、セキュリティ通知は異変を早く知るための、もっとも現実的な手段です。
重要なアカウントではもれなく設定しておいて、冷静に確認することが対策になります。
3. パスワード管理を見直す
パスワード情報を適切に管理するには、「管理ツール」の利用が欠かせません。
インターネットを使ううえで、パスワード管理はセキュリティの土台になる部分です。
「守る」ためのツールは地味に見えますが、実際にはとても優秀な仕事をしています。
一度使い始めると、手放せなくなる人が多いのも特徴です。
前章で紹介した「Have I Been Pwned」でも、安全なパスワード管理の手段として、管理ツールの利用が推奨されています。
ここでは、一般的なパスワード管理ツールが持っている代表的な機能を紹介します。
ご自身の管理方法に、どう生かせるかをイメージしてみてください。
【パスワード管理ツールでできること】
- 1️⃣ パスワードの自動生成
文字数・文字の種類を指定して、より複雑なパスワードを自動で生成することができます。
- 2️⃣ パスワードの自動保存・入力
ログイン情報とサイトURLを、セットで保存することが可能です。
それによって、サイトを開いたときに、自動で該当のパスワードを入力することができます。- 3️⃣ リスクの高いパスワードのチェック機能
短いパスワードや、使いまわしなど、リスクの高いものをチェックする機能があります。
管理する情報が増えるほど、自分では見つけにくくなるので重宝します。- 4️⃣ 管理ツールアカウントへのアクセス制限
マスターパスワードや、2段階認証など、複数の認証の仕組みがあります。
それによって、管理ツール自体のアカウントの守りを強固にできます。
情報の金庫を手に入れよう
パスワード流出への危機感をきっかけに、管理方法そのものを見直すのは、とても大切な判断です。
実際には、「パスワードそのもの」よりも、「管理の仕方」に問題があることが多いのです。
手動管理には限界があります。
最初の一歩としては、Google パスワードマネージャーのような無料ツールでも十分に効果があります。
機能的には制限がありますが、ツールを使うことにより大きな意味があります。
こちらの記事も、参考にしてみてください。
Googleパスワードマネージャーはどこまで使えるのか? 安全性と注意点を解説
管理する情報が増えてきたら、より安全性や管理性に特化した専用ツールの検討も視野に入ってきます。
ここまで読んで、自分には必要かもと感じた方は、1Passwordの導入を考えてみましょう。
割安に導入するなら、国内取扱店での購入がオススメです。
\ セール開催中! /
1Password を上手く使いこなすための関連記事
トラブルは、予期しないタイミングで起こるものです。
何かが起きる前に、対策を知っておくこと自体が防衛になります。
1Password復元コードの設定・使い方|アカウント復旧の仕組みと注意点
1Passwordの情報を上書きしてしまったときの復元方法
パスワード管理ツールを切り替えるタイミングに。
画像付きで、迷わず進める手順を解説しています。
Googleパスワードマネージャーから1Passwordへ移行する方法|初心者でもできる手順を解説
これから 1Password を始めるなら、まず基本を押さえておきましょう。
導入方法と、やるべき設定について解説しています。
1Passwordの使い方と購入ガイド|はじめてでも安心の管理ツール入門
4. まとめ|防御力を高めていこう!
この記事では、パスワード流出の「対策」と「チェック方法」について解説しました。
最後にあらためて、要点を確認していきましょう。
「対策」は、パスワードの基本原則をしっかり守ること
ここで大事なことは、「個人の対策だけで完全に防ぐことはできない」という点です。
セキュリティ対策では、「流出したときに被害を最小限にする」という視点も大事になってきます。
パスワードは使いまわさない
複雑で長いパスワードにする
上の2つを自動化できる「管理ツール」を使う
こういった方法は、流出そのものを完全に防ぐものではありませんが、被害を最小限に抑えるための有効な手段です。
「チェック方法」はあるけど、最後は自分で判断を
信頼性の高いチェック方法はありますが、それでもすべてのパスワード漏洩の可能性を知ることは難しいです。
そのため、チェック結果は「断定」ではなく、判断材料として使うことが重要になります。
個人でできる、信頼性の高いチェック方法は次のようなものです。
チェックツールを使う(Have I Been Pwnedなど)
重要なアカウントでは、ログイン通知を有効にしておく
また、パスワード管理ツールには、保存しているパスワードの状態をチェックするための機能が搭載されています。
例えば――
Googleパスワードマネージャーなら「チェックアップ」
1Passwordなら「Watchtower」
こういった機能を利用することで、自分の状況を客観的に評価することができます。
リスク評価を数字で見ることで、課題がハッキリしてくることもあります。
それでも不安が残るときは?
リスクのあるパスワードを把握できたら、なにか起こる前に策を講じておくことで、安心につながります。
次の2つの方法で、しっかり防御を固めておきましょう。
1️⃣ パスワードの変更
2️⃣ 2段階認証の設定
この他にも、当サイトでは、パソコンやインターネットを安全・快適に使えるよう、基本的な使い方を分かりやすく解説しています。「基本操作」や「セキュリティ対策」についても扱っていますので、興味のある方は関連記事からご覧ください。
