IPよもやま話
I(愛)ちゃんとP(パパ)とO(小野田君)の会話が続きます。
今日は、ちょっと肩の力を抜いて「パスワードの話」をしてくれるんでしたよね。
はっはっは。
愛ちゃんはいつだって肩の力を抜いているじゃないか。
そんなことはないわ。
いつもちゃんと緊張して聞いているわ!
うんうん。
まぁ、いいだろう。
じゃあ、最初に真面目ぶって「パスワードの意味」から説明しよう。
パスワードとは、英語の「Password」で、日本語では「合言葉」ということになる。
えーっ。
じゃあ「開けゴマ」*1みたいなもののことね?
そうだ。
それがコンピュータ社会になって、コンピュータに記憶されている情報を利用する際に入力する符号(合言葉)になったんだね。
機密保護などのために、正式の登録者であることを確認することができるからね。
例えば銀行キャッシュカードの「暗証番号」などだ。
なるほどね。
では愛ちゃんに聞くが、君の銀行キャッシュカードの暗証番号はどんなことからつけたのかな?
私は簡単よ。
自宅の電話番号の末尾の4桁にしているわ。
安直だね。
簡単なパスワードは、他人に使われる心配があるから注意した方がいい。
そうかもね。
私の友人で、好きな女優の「8940(やくしまる薬師丸)」ってひともいるけど、銀行カードはなぜ4桁なの?
5桁とか8桁ならなかなか他人に使われにくくなると思うけど・・・。
図1 暗証番号は要注意
銀行カードが4桁になったのは、古いコンピュータ時代でメモリが高価だったせいだ。
2進法で2・4・8・16と言うことになっていくが、2桁では脇から見られたら直ぐに盗用されるし、8桁以上だとメモリが多くなるしね。
いまは、銀行カード以外で6桁やそれ以上のパスワードも多くなったが、銀行システムを変更するのは膨大な費用と周知徹底するのが大変だから、そのままになっているんだよ。
パスワードのうちで、数字のみで校正される文字列を「暗証番号」といって、英語ではPIN(personal identification number)というそうですね。
ここまで話題の金融機関のATMや携帯電話の本人確認に利用されているものです。
ほほう、知識豊富だね。
では、それに1つ追加するが、文字列の長さが数十字以上の長いパスワードのことをパスフレーズと呼ぶことがある。これは「高いセキュリティ」が必要なシステムで用いられるんだ。
すみません。
暗証番号以外の「パスワードの話」をして頂けませんか。
うんうん。
そうだね。
パスワードは極めて重要な「合言葉」なんだ。それはね。
インターネット上では、ネットショッピング、会員制サービス、ネットバンキング、Webメール、ゴルフ場等ID/パスワードを登録して利用するサービスが多いよね。
このようなネット上の各サービスでは、ID/パスワードによってユーザーの識別を行っているため、これが他人にばれてしまうと
(1) ネットショッピングで勝手に買い物をされて、身に覚えの無い支払いを請求される
(2) ネットバンキングで勝手に振込みをされたり送金されたりする
(3) Webメールの受信箱を勝手に見られてプライベートな情報を読まれてしまう
といったような被害に遭う可能性があるからだ。
そうねー。
じゃあパスワードを設定するとき注意しないと駄目ね。
注意事項を教えてくれないかな。
私、暗証番号も変えるわ。
そうだよ。
生年月日など危険だからね。
注意事項を列挙しよう。
1)生年月日や電話番号など、他人に簡単に類推できる情報
2)一般的な単語1語
3)関連のある単語同士をつなげたもの
4)キーボードの配列そのまま
5)同じ数字(0000等)や、連続する数字(012345等)
6)自分の好きなものや恋人の名前など
7)他人に良く知れ渡っているものをそのまま
などだ。
そういえば、アメリカのパスワード管理ソフトメーカー「米SplashData」社が発表した2013年の「脆弱なパスワードランキング」を見ましたが、今言われたパスワードのオンパレードですね。(表1)
表1 脆弱なパスワードランキングベスト10
出典:米SplashData(現地時間2014年1月20日)
(アメリカのパスワード管理ソフトメーカー)
図2 総務省の公表
そういえばテレビで、パスワード関連で総務省が「リスト型攻撃の対策集を公表」したとかいうニュースを見たけど、それって何のこと?(図2)
今日の話に関係あるの?
はっはっは。
愛ちゃんも大したものだ。
そのニュースを覚えているとは!
感心、感心。
いいえ。威張れないわ。
内容は何も覚えていないもん・・・。
いいよ、いいよ。
タイトルだけでも覚えていて、愛ちゃんとしては大したものだ。
説明してあげよう。
総務省が昨年12月18日に「リスト型アカウントハッキングによる不正ログインへの対策について(サイト管理者などインターネットサービス提供事業者に向けた対策集)」公表したんだね。
中身の前に「リスト型アカウントハッキング」って何のこと?
「リスト型アカウントハッキング」ってね、多くのネットワークサービスでIDとパスワードを何でも同じものにする人が多いんだよ。
そうよ。私もいちいち変えると覚えきれないから全部同じだわ
インターネット上でどこかのサイトでIDやパスワードが流出したというニュースが流れているだろう。そうすると、自分のIDやパスワードがその中に含まれていると、愛ちゃんのように多くのユーザーが「IDとパスワード」を共通使用しているので、流出したIDとパスワードを使えば簡単に他のサービスにログインできてしまうことになるだろう。
このことを「リスト型アカウントハッキング」っていうんだよ。
そうなんだ。
それで総務省の対策集の中身は?
昨今、リスト型アカウントハッキングとみられる不正アクセスが急増しているので、総務省ではサイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じることによって、被害の拡大を防いで、安心で安全なインターネット利用環境を確保するよう、事業者向けの対策集を作成したんだよ。
なんだ、事業者向けかー。
いやいや、愛ちゃんのようなユーザーに向けて「注意を喚起させるよう」要望してるんだよ。
例えば、どんなこと?
そうだね。
事業者側で攻撃を予防するために、愛ちゃんのようなユーザーに対して
1)ID・パスワードの使い回しについて注意を喚起する
2)パスワードの有効期間を設定すること
3)履歴を保存して過去に使用していたパスワードへの変更は認めないようにすること
4)二要素認証*2の導入
を挙げているんだよ。
「パスワード使い回しの注意」については、最近テレビでよくいわれているけど、日本人は多いのかな?
うんうん。
総務省のデータ*3によると、アメリカに比べると多いようだ。
図3を見ると、米より多いね。
愛ちゃんも青色の11.8%の中のの一人だね。
わかったけど、事業者側には注意事項は無いの?
あるよ。
1)事業者側でID・パスワードを平文*4で保存しないなど適切な管理を行うこと
2)休眠アカウント*5の廃止
3)推測が可能なパスワードの利用拒否
4)攻撃を受けた場合、被害の拡大を防ぐために、認証を複数回失敗したアカウントを停止し、以後の攻撃をふせぐこと
5)攻撃が行われているIPアドレスからの通信を遮断すること
6)ログイン履歴を表示するなどして攻撃を検知し易くすることなど
を挙げているね。
そうかぁ。
さしずめ、私は「推測可能なIDやパスワードにしないこと」や「使い回しをしないこと」に注意しないといけないんだ。
そうだ、よく分かったね。
パスワードは「合言葉」で、簡単に分からないようにすること、使い回しをしないことなど、よく分かったわ。
有難う。
次回のテーマだが、愛ちゃんのリクエストがないうちに、私から言うが「その後のクラウドPBX」について話そうと思うがどうかな?
いいですね。
久しくPBXの話が無かったのでお願いします。