• NEXT INNOVATOR
  • セキュリティ
  • エヴァンジェリスト

日々PCやスマホを活用するビジネスパーソンにとって、セキュリティはとても身近で大切なこと。とはいえ、「知っているつもりで、実はよくわかっていなかった」ということが多い分野でもある。SNSの乗っ取りやランサムウェア(身代金要求型ウイルス)感染による被害などの最新事情をふまえたセキュリティの新常識を、セキュリティエバンジェリストの辻 伸弘さんに、理系タレントの黒田 有彩さんが聞く。

辻 伸弘(つじ のぶひろ)
1979年生まれ。ソフトバンク・テクノロジーでシニアセキュリティリサーチャー兼シニアセキュリティエバンジェリストを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテストを担当。テレビや雑誌などのメディアに登場し、またさまざまな講演に多数登壇している。著書に、『あなたのセキュリティ対応間違っています』(日経BP)。
 
黒田 有彩(くろだ ありさ)
1987年生まれ。お茶の水女子大学理学部物理学科卒。中学時代のNASA訪問をきっかけに宇宙に魅せられ、現在、JAXA宇宙飛行士受験を目指して勉強中の「宇宙女子」タレント。2016年、個人事務所兼宇宙に関するプロダクトやコンテンツを開発する株式会社アンタレスを設立。共著に『宇宙女子』(集英社インターナショナル)。

パスワードを覚えて管理する。
その発想が、危険です

黒田:実は最近、お仕事をご一緒しているヘアメイクの方が、Facebookのアカウントを乗っ取られてしまって……。そういうことって、よくあるんですか?

:昔からありますが、ここ最近、また増えているようですね。乗っ取りとは、要するにIDとパスワードのセットが誰かにばれて、不正アクセスされてしまったということです。
黒田さんって今、IDとパスワードの入力が必要なサービスをどれくらい使っていらっしゃいますか?

黒田:そうですね……。SNSが5種類ぐらい、ネットショッピングがやはり5種類ぐらい。あとは、オンラインバンキングでしょうか。

:「続きを読む」を押すと、会員登録を求められるようなWebメディアもありますよね。そういうのは?

黒田:あ、いくつか入っています。そうすると15とか、20ぐらい? 意識しないうちにずいぶん使っているんですね。
:そうですね。3~4年前のある調査では1人平均13種類使っているという結果でしたが、登録だけして忘れていることもよくあるので、実際にはもう少し多いでしょう。
では、その20種類のサービスすべてのIDやパスワードを、別のものにしていますか?

黒田:すみません、実は何種類かを使い分けている程度です。とても覚えきれなくて……。

:ふふふ、気持ちはわかりますが、セキュリティ的には問題大ありですね。そもそも、パスワードを覚えて管理しようという発想が間違っているんです。

黒田:えっ、そうなんですか? 

攻撃する側のテクニックを知ることから始めよう

:対策をお話する前に、攻撃する側がどのようにパスワードを破るのかを、簡単に説明しておきましょう。そのほうが、なぜそういう対策が必要なのか納得しやすいですからね。
まず、総当たり攻撃というやり方。もしパスワードが4ケタの数字なら、ゼロ4つから順番に数字を一つずつ増やしていけば、いつかは当たりますよね。

黒田:わかります。4ケタなら、10の4乗で、最大で1万回試せばいいということですよね。

:もしパスワードが数字だけだったり、数桁の短いものだったりしたら、コンピュータを使って総当たり攻撃をすればあっという間に破れてしまいます。だから、パスワードは長いほうがいいし、数字だけでなくアルファベットや記号も混ぜたほうがいい。
もう一つの方法は、辞書攻撃と呼ばれているものです。

黒田:辞書ですか?

:みんながパスワードとして使いそうな文字列、たとえば「password」の「a」を「@」に代えて「p@ssword」としたものなどがたくさん収録されているテキストファイル(辞書ファイル)を使って、不正ログインを試みるやり方です。人が考えつくような、あるいは言葉として意味のある単語を使ったパスワードは、こうした辞書攻撃に弱い。だから、無意味な文字列のほうがパスワードとしては強くなります。
もう一つは、類推です。名前や誕生日をパスワードの一部に使っている人が実はけっこういるんですが、そういう情報って、たとえばタレントさんだとネットで公開されてるんじゃないですか?

黒田:ウィキペディアに載っています(苦笑)。

:昔、海外セレブがスマホの写真の保管場所であるクラウドサービスに不正アクセスされたときは、パスワードに安易な文字列を使っていたようでした。少し前に比べて、パーソナルな情報はそれほどパーソナルではなくなってきています。パスワードを再発行するための“秘密の質問”によく利用されるような「ペットの名前」などは、SNSで公開していたりしますよね。パーソナル(だと思っている)な情報から類推できるパスワードも、よくありません。

そして、最近やっかいな問題として浮上しているのが「漏えい」です。いくらユーザが強いパスワードを設定していても、どこかのサービスにセキュリティ上の弱点があれば、そこからパスワードが漏えいしてしまいます。
サービス側でパスワードを暗号化して保管している場合もありますが、暗号化の方式にも強度に差があり、弱い暗号化であればあまり時間をかけずとも解読できるソフトが世の中には出回っていますし、コンピュータのスペックも日々向上しています。IDとパスワードをセットにしたリストもネットで公開、販売されていますからね。

黒田:怖いですね……。

:このとき、いろんなサービスで同じパスワードを使いまわしていると、攻撃者は一つのサービスから漏えいしたID、パスワードを使って、黒田さんの他のサービスのアカウントにも芋づる式に不正アクセスできてしまうわけです。

黒田:そうか、だから、パスワードの使い回しは危ないんですね!

強いパスワードはこのようにつくる

:まとめると、強いパスワードの条件というのは
① 長く、
② 数字、アルファベット、記号が混在していて、
③ 言葉としての意味がなく、
④ パーソナルデータなどから類推しにくい
文字列がいいということになります。その上で、
⑤ すべてのサービスで別々のパスワードを使う
ことが、不正アクセスを防ぐ上では大切になってくるわけです。SNSなどで2段階認証機能が用意されているときは、ぜひそれもオンにしておいてください。

黒田:なるほど。頭で覚えて管理しようとするから、短くて類推できるパスワードを使ったり、一つのパスワードをいくつものサービスで使いましたりしてしまうわけですね。でも、覚えずにパスワードを管理するなんて、そんなことができるんですか?

:方法はいくつかあります。たとえば僕は、パスワードマネジャーと呼ばれる管理ソフトを使っています。実験を兼ねて「1Password」と「LastPass」の2種類を使っていますが、これで約250のパスワードをすべて管理しています。

黒田:250も! そんなにたくさん、パスワードを考えるんですか?

:いえ、利用するサービスごとに、管理ソフトがボタン一つでつくってくれるんです。英数字と記号が混じった全く意味のない文字列で、20ケタとか30ケタとか、長さは気分で決めます。サービスを使うときにはやはりボタン一つで、自動的にパスワードを入力してくれます。

黒田:なるほど! でも、ソフトの使い方を覚えるのが大変そうだし、月々の使用料金もちょっと気になります。

:では、うちの実家の母が使っている、ずばり「紙に書く」作戦はどうでしょう。女性がよく持っている手帳、あれでいいんです。
黒田:手帳なら持っています。でも、「パスワードは紙に書くな」ってよく言われている気がしますが……。

:「紙に書いてPCのそばに貼っておく」といった他人の目に触れる状態にしてしまうのは確かによくありませんが、手帳ならそんなに人に見せませんよね? 家に置いておいてもいいですし、持ち歩きたいならコピーを1枚取って家に保管しておけばいい。このとき、パスワード全部を書かない工夫をするのがコツです。

黒田:全部を書かない?

:たとえば、実際のパスワードの頭か後ろの何文字かを省略して、メモしておくんです。省略する文字列だけを暗記して、使うときにはそれを加えて入力すればいいでしょう?
そうしておけば、万が一手帳を落としたとしても、すぐにパスワードを破られることは防げます。そうして時間稼ぎをして、新しいパスワードを設定しなおせばいいんです。また、持ち歩くものは外出先で頻繁に利用するものに限定すれば、紛失した際のパスワード変更の手間を最小限にすることができます。

黒田:なるほど! それなら私にもできそうです!

最近話題の「ランサムウェア」。アップデートで対策を

黒田:最近ニュースで、「ランサムウェア」という言葉をよく聞きます。イギリスでは、健康保険システムが影響を受けて診察や手術が中止となってしまったとか……。私たちが被害に遭う可能性もあるのでしょうか?

:ランサムとは「身代金」の意味で、僕は「身代金要求型」ウイルスと呼んでいます。写真や文書などの大事なファイルを勝手に暗号化したり、画面をロックしてPCやスマホを使えなくしたりして、「元通り使えるようにしたいならカネ(多くの場合はビットコインなどの仮想通貨)を払え」、と犯罪者が要求してくるんです。
実際にお見せしたほうが感染したことがわかりやすいので、ここでやってみましょう。まず、ここにあるノートパソコンの中に、仮想のコンピュータを立ち上げて、ランサムウェアに感染させます。このファイルをクリックしてみてください。

黒田:え、いいんですか……。やってみますね。

:最初はなにも起きないんですが、1分ほどすると、ここに置いてある文書や写真のファイルが暗号化されていきます。
黒田:……あ! 本当だ! やだ、怖い!(汗)

:完了しましたね。ちょっとたどたどしい日本語ですが、「あなたの大事なファイルを暗号化した。元に戻すにはビットコインでお金を払え」と書いてある。

黒田:ひどいですね……。この黒地に赤い文字の画面がいっそう不気味ですね。これは、どういうきっかけで感染してしまうんですか?
:この「WannaCry」というランサムウェアは、Windows UpdateがされていないWindows OSの弱点を突くものです。ネットワークを通じてその弱点を利用することで感染しますので社内のネットワーク上の一つのマシンが感染した場合、そこにつながっているコンピュータがその弱点を放置しいている場合、全滅しかねません。
セキュリティ関連の更新がされていないブラウザを使っていれば、改ざんなどによって危険なコードが組み込まれたWebサイトを見るだけで、こうしたマルウェア(悪意のソフトウェア)に感染する可能性もあります。

黒田:感染を防ぐにはどうすればいいんですか?

:Windows Updateをはじめ、OSやアプリのセキュリティ関連のアップデートは必ず実行しておくことですね。もちろん、アンチウイルスソフトも常に最新の状態にしておきましょう。万が一、人質にされてもあわてないよう、大事なファイルはどこか別の場所にバックアップをとっておくことも一つの手です。OSやアプリのアップデート、ちゃんとやってますか?

黒田:はい、たぶん自動で。でもそういえば最近、アンチウイルスソフトが、年間プランがどうこうというメッセージを表示しているような……。

:それ、更新期限が迫っているかもしれません(笑)。

黒田:わかりました! 帰ってすぐ確認します!
(黒田さん、インタビューはいかがでしたか?)
ワクワクするインターネットサービスのおかげで、どんどん便利になっていく時代。技術が向上すればするほど、犯罪の種類、切り口も多様になります。便利さの裏には必ず代償もあることを忘れてはいけませんね。
私の憧れる宇宙飛行士という職業は、常に危険と隣り合わせ。そのためにあらゆる状況を想定し、リスクを回避していく能力が必要です。まずは私も自分の使っている端末から見直し(笑)、宇宙飛行士に一歩近づきたいと思います。
辻さんから教えていただいた対策は、どれもすぐにできるものでした。より自由に、より楽しむために、ぜひみなさんもセキュリティを見直してみてくださいね。


(取材日:2017.5.30)

Future Strideの新着情報も配信しています。

メールマガジンの登録はこちら ビジネスメールマガジンの登録はこちら
その他のNEXT INNOVATOR