簡単なパスワードが使用されている現状

株式会社ソリトンシステムズは先日、パスワードに関する調査を実施しました。具体的には、2024年1月から8月にかけて国内外で発生した276件の情報漏洩事件をもとに、日本人とみられるユーザーのパスワードを分析しました。その結果、次のような実態が明らかになったとのことです。

・最も多かったパスワードが「123456」、2位が「password」、3位が「123123」
・「111111」や「xxxxxx」など、同じ文字を繰り返すだけのパスワードも目立った
・「qwerty」や「1q2w3e4r」など、キーボードの配列に沿ったパスワードも目立った

この調査結果から見えてくるのは、いかに多くのユーザーが単純なパスワードを使用しているか、という事実です。こうしたパスワードは覚えやすい一方で、推測されやすく、攻撃者の格好のターゲットとなります。

同社の担当者も、「単純で推測可能なパスワードを使っている人が今でも多い。AIの進化など攻撃技術は高度化しており、誰でも推測できるパスワードは機能として安全ではない」と警鐘を鳴らしています。

なお、IPAが発表する「情報セキュリティ10大脅威」をご存じでしょうか。2006年から毎年発表しているもので、前年に発生したセキュリティ事故の状況などをもとに「10大脅威」を選出しています。また、発表と同時に、解説書やスライド形式の説明資料なども提供しています。

最新版は「情報セキュリティ10大脅威 2024」です。こちらの解説書では、個々の脅威について対策法を紹介していますが、あらゆる脅威に共通して効果のある対策法として、パスワード管理の強化をあげています。基本的なことではありますが、同時に重要なことなのでしょう。言い換えれば、パスワード管理が適切でない場合、あらゆる脅威の影響を受けやすくなるということです。

IPA「情報セキュリティ10大脅威」のポイント

ここで、「情報セキュリティ10大脅威 2024」の内容を深く掘り下げていきます。本発表では、個人の場合と組織の場合に分けて10大脅威を取り上げています。それぞれの内容をみていきましょう。

個人における10大脅威のポイント

「個人における10大脅威」は次の通りです。

・インターネット上のサービスからの個人情報の窃取
・インターネット上のサービスへの不正ログイン
・クレジットカード情報の不正利用
・スマホ決済の不正利用
・偽警告によるインターネット詐欺
・ネット上の誹謗・中傷・デマ
・フィッシングによる個人情報等の詐取
・不正アプリによるスマートフォン利用者への被害
・メールやSMS等を使った脅迫・詐欺の手口による金銭要求
・ワンクリック請求等の不当請求による金銭被害

個人の場合、日常的なインターネットサービスの利用に関わるものが多い傾向があります。攻撃者の目的としては金銭や個人情報の窃取などで、被害範囲としては主にユーザー自身に限られるケースが多いです。

組織における10大脅威のポイント

「組織における10大脅威」は次の通りです。

・ランサムウェアによる被害
・サプライチェーンの弱点を悪用した攻撃
・内部不正による情報漏えい等の被害
・標的型攻撃による機密情報の窃取
・修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
・不注意による情報漏えい等の被害
・脆弱性対策情報の公開に伴う悪用増加
・ビジネスメール詐欺による金銭被害
・テレワーク等のニューノーマルな働き方を狙った攻撃
・犯罪のビジネス化（アンダーグラウンドサービス）

組織の場合、個人の場合と比べ、手口が巧妙である傾向があります（例えば攻撃対象の事前調査を行う、タイミングをみて攻撃するなど）。攻撃者の目的としては重要情報の窃取、業務妨害、金銭の要求などです。組織の規模が大きいほど被害が深刻化しやすく、法的責任や信用失墜に発展する恐れもあります。

情シス担当者がパスワード管理において意識すべきこと

IPAの「情報セキュリティ10大脅威 2024」から、個人と組織それぞれにおける10大脅威をみてきました。

情シス担当者として意識したいのは、基本的には「組織における10大脅威」のほうです。解説書では、各脅威の手口や事例、対策法などが紹介されていますので、必要に応じて参考にするとよいでしょう。

また、前述した通り、解説書では、さまざまな脅威がある中で共通する対策法として、パスワード管理の強化をあげています。これを優先的に実施することで、自社のセキュリティを効率的に向上させることができます。

なお、「組織における10大脅威」だけでなく、「個人における10大脅威」も意識したいところです。一見関係がないようで、見方を変えるとつながりがみえてきます。

「個人における脅威は、組織における脅威よりも被害が小さい傾向がある」。この点がポイントです。趣味としてSNSを利用する際などといった個人的な状況では、仮に何らかの攻撃を受けたとしても被害が小さいためセキュリティ面が軽視されがちなところがあります。そのため、「123456」「password」といった簡単なパスワードが使用されているケースも多いと考えられます。

情シス担当者が持つべき視点は、「そのような感覚を自社に持ち込んでいる社員はいないか？」という視点です。

例えば、ある社員がSNSアカウントで「123456」というパスワードを使用していたとします。「このパスワードで大きな問題が起きていないから大丈夫だろう」という感覚で、同じパスワードを自社内のシステム・アプリケーションで使用すると、どうなるでしょうか。いとも簡単に攻撃者に侵入されてしまうでしょう。ランサムウェアに感染する、機密情報を盗まれるといった重大なセキュリティ事故が発生する恐れもあります。

組織では一人ひとりのパスワード管理が組織全体のセキュリティを左右します。一人の人物の不適切なパスワード管理が、「情報セキュリティ10大脅威」で取り上げられているようなセキュリティ事故を引き起こす場合もあるのです。

情シス担当者は、このような内容を踏まえ、社員全員が適切なパスワード管理を行えるようサポートしていく必要があります。

適切なパスワード管理を実現するために情シス担当者が実施すべきこと

社員全員が適切なパスワード管理を行えるようにするために、情シス担当者は具体的に何を実施すべきなのでしょうか。

まずは、パスワード作成ルールの策定です。これまで説明してきたように、「123456」「password」など、簡単なパスワードの使用は厳禁です。情シス担当者は、社員が推測されにくい複雑なパスワードを作成できるよう、具体的なルールを設けましょう。次の内容を含めると効果的です。

・10文字以上など、一定文字数以上にする
・大文字、小文字、数字、記号を組み合わせる
・初期設定のままにしない
・IDと同じものにしない
・同じ文字を繰り返したものにしない
・キーボードの配列に沿ったものにしない
・単純な単語一語だけにしない
・生年月日や名前を使わない

なお、推測されにくい複雑なパスワードを作成しても、それで十分というわけではありません。あらゆる脅威から自社を守るために、必要に応じて次のような対策も実施しましょう。

パスワード変更作業の管理	社員にパスワードを定期的に変更するよう指示する。
パスワード生成ツールの活用	社員が推測されにくい複雑なパスワードを簡単に生成できるよう、パスワード生成ツールを取り入れる。
多要素認証の導入	セキュリティを強化するため、多要素認証を導入する。多要素認証とは、性質の異なる複数の要素を組み合わせて認証を行う仕組みのこと。
アカウントロックアウトの導入	セキュリティを強化するため、ログイン試行回数が一定以上に達した場合にアカウントをロックアウトする仕組みを導入する。
シングルサインオンの導入	パスワード管理の負担を軽減するため、シングルサインオンを導入する。シングルサインオンとは、一つのアカウントで複数のシステム・アプリケーションにログインできる仕組みのこと。
非アクティブアカウントの管理	不要なアクセスリスクを防ぐため、長期間使用されていないアカウントを無効化または削除する。
教育の実施	定期的に社員に対してのセキュリティ教育を実施する。
監査の実施	定期的にセキュリティ監査を実施し、必要に応じて改善措置を講じる。

まとめ

ソリトンシステムズにより実施された調査により、多くの日本人ユーザーが依然として「123456」「password」といった単純なパスワードを使用している実態が明らかとなりました。

こうしたパスワードは覚えやすい一方で、攻撃者に狙われやすい面もあります。IPAが発表する「情報セキュリティ10大脅威 2024」でも、あらゆる脅威が存在する中、共通して効果のある対策法としてパスワード管理の強化があげられています。

社員の中に単純なパスワードを使用している人がいないとも言い切れません。情シス担当者は、社員一人ひとりが組織全体のセキュリティを左右することを認識し、社員全員が適切なパスワード管理を行えるようサポートしていく必要があるでしょう。

（TEXT：松下一輝　編集：藤冨啓之）