あなたが使うパスワードマネージャーは安全ですか？

2022年、私たちは、オンラインサービスに登録されていた個人データが漏洩したというニュースを立て続けに目にしました。利用者も多いパスワード管理サービスLastPassの親会社の顧客データが窃取されていたことも明らかになり、世界中で大きく報道されました。もしあなたがパスワード管理ツールを使っているなら、このようなデータ漏洩のニュースを目にするたびに、攻撃者があなたの情報に不正アクセスできるようになったらどうしようと不安に感じたことでしょう。

ただ、そういったインシデントについて、どの程度心配する必要があるのでしょうか。カスペルスキー パスワードマネージャーの例を使って、パスワードマネージャーが持つ複数の防御の層がどのように機能するのか、そして防御を強化するために何ができるのかについて、これから解説します。

基本的な原則

まずはじめに、パスワードマネージャーを利用する利点について考えてみましょう。私たちが使うインターネットサービスの数は年々増え続けています。これはつまり、私たちはより多くのユーザー名やパスワードを作成、保存、そして入力していることを意味します。すべての情報を記憶するのは極めて困難なことです。かといってそれらをメモに書き留めて机の引き出しに入れておくのはリスクが伴います。そのための明確なソリューションは、すべてのログイン認証情報を1つの安全な場所に保存し、この場所を1つのキーでロックすることです。こうすることで、あなたが覚える必要があるのは、1つのメインパスワードのみとなります。

カスペルスキー パスワードマネージャーを初めてアクティブ化すると、デジタルボールトを開くためのメインパスワードを作成するように促されます。その後、このツールに、利用しているインターネットサービスのURL、ユーザー名およびパスワードのデータを、サービスごとに入力できるようになります。この作業を手作業で行うこともできますし、パスワードマネージャーのブラウザー拡張機能を設定すれば、ブラウザーに保存されているすべてのパスワードをデジタルボールトに移行させる特別なコマンドを使用することもできます。パスワードの他にも、ツールには個人情報を含むファイルも保存することができます。たとえば、スキャンしたID、保険に関する情報、銀行口座に関する情報や、重要な写真などです。

Webサイトにアクセスする必要があるときは、デジタルボールトを開き、ログインフォームに入力する必要があるデータをタイプして入力するか、保管しているログイン認証情報を自動的に入力することをパスワードマネージャーに許可することも可能です。使用後は、そのツールを再びロックします。

デジタルボールトとセルフロック機能

ここからは、保護のメカニズムについて見ていきましょう。使用されるボールトファイルは、機密データを保護するために世界中でよく使用されているAdvanced Encryption Standard (AES-256)に基づく対称鍵アルゴリズムを使って暗号化されます。ボールトにアクセスするには、メインパスワードを基にした鍵を使用します。強固なパスワードであれば、攻撃者が鍵なしで解読しようとしても膨大な時間が必要となります。

また、カスペルスキーのパスワードマネージャーは、ユーザーが一定期間使用しなければ、自動的にツールをロックします。万が一攻撃者があなたのデバイスを手に入れ、OSの保護をかいくぐってツールを開くことに成功したとしても、メインパスワードがなければ、ツールの中の情報を窃取することはできません。

ただし、セルフロック機能は事前に設定しておく必要があります。アプリのデフォルトの設定では、長い期間使用しない状態が続いた場合にツールをロックするようになっています。もしノートパソコンやスマートフォンを完全に安全とは言えない場所で使う習慣があるのであれば、1分後にセルフロック機能が作動するように設定することができます。

しかし、ここに抜け穴となりうるポイントがあります。攻撃者があなたのコンピューターにトロイの木馬を仕掛けた場合や、リモートアクセスプロトコルをインストールする別の手段を用いた場合、あなたがツールにログインしたタイミングで、ツールからパスワードを窃取する可能性があります。2015年に、このようなハッカーツールがKeePassのパスワードマネージャーに対して作成されました。これは、KeePassを開いた状態のコンピューターで利用されているパスワードのアーカイブ全体を復号し、別のファイルとして保存するというものでした。

ただし、カスペルスキー パスワードマネージャーは、通常カスペルスキーのアンチウイルス製品と同時に使用されるため、パスワードマネージャーが感染したパソコンで実行される可能性は極めて低くなります。

ゼロ知識

パスワードで暗号化されたファイルは、デバイス上だけでなく、カスペルスキーのクラウドインフラストラクチャにも保存することができます。これにより、自宅のパソコンやスマートフォンといった別のデバイスからもツールを利用できるようになります。設定にある特別なオプションを利用することで、カスペルスキー パスワードマネージャーをインストールしているすべてのデバイスでデータを同期するようにできます。また、任意のデバイスでマイ カスペルスキーWebサイトにアクセスして、Webバージョンのパスワードマネージャーを利用することもできます。

クラウドストレージを使用している場合、データ漏洩が発生する可能性はどの程度あるのでしょうか。まず、カスペルスキーの製品はゼロ知識原則に基づいていることを理解することが重要です。これは、利用しているパスワード管理ツールは、あなた以外の他の人に対して暗号化されているのと同様に、カスペルスキーに対しても暗号化されていることを意味します。カスペルスキーの開発者がファイルを読み取ることもできません。メインパスワードを知っている人しか、開くことができません。

全部ではありませんが、現在使用されている多くのサービスでは、パスワードやシークレットを同様の原則に基づいて保管しています。そのため、クラウドストレージサービスでデータ漏洩が起きたというニュースを目にしたとしても、パニックにならないでください。データが漏洩したとしても、攻撃者が盗んだデータを解読できるとは限らないからです。このような漏洩は、頑丈にロックされた金庫を、ロックを解除する暗証番号を知らないまま銀行から盗み出すようなものです。

パスワード管理ツールにおいて、暗証番号はあなたのパスワードです。もう1つ重要なセキュリティの原則があります。それは、カスペルスキー パスワードマネージャーでは、あなたのメインパスワードをデバイスにもクラウドにも保存しない、ということです。ハッカーがあなたのコンピューターやクラウドストレージサービスにアクセスできたとしても、あなたのメインパスワードを製品から盗み出すことはできません。あなただけが、このパスワードを知っているからです。

強固なメインパスワード

とはいえ、パスワードで暗号化されたファイルが漏洩した場合には、問題が起きる可能性はあります。攻撃者がツールを盗んだら、次にハッキングを試みるでしょう。

その際、主な攻撃方法が２つあります。一つ目は、総当たり攻撃です。一般的に、これは非常に時間のかかる方法です。パスワードが大文字小文字、数字や特殊文字を含めた12のランダムな文字で構成されている場合、総当たり攻撃ですべての組み合わせを試すには、10の21乗以上の回数を試す必要があります。つまり全部の数字をそれぞれ21桁の回数で試す必要がある、ということです。

しかし、もし日々の生活を簡単にしようとして、1つの言葉や「123456」といったシンプルな数字の組み合わせの脆弱なパスワードを使用すると、自動スキャナーによって1秒もかからずに解読されてしまいます。このような場合、総当たり攻撃では個々の数字や文字ベースではなく、よく使用される組み合わせを集めた辞書ベースで行われるからです。にもかかわらず、今日に至るまで、多くのユーザーがハッカーのスキャナーの辞書に長く存在する組み合わせをパスワードとして利用しています。

2022年12月、この潜在的な問題について、パスワードマネージャーLastPassのユーザーに対する警鐘が鳴らされました。LastPass開発者のアカウントがハッキングされ、攻撃者が、この企業が使用しているクラウドホスティングサービスへのアクセスを入手したのです。その他のデータと共に、ユーザーのパスワードのアップデート情報も窃取しました。これを受けて、この企業はユーザーに対して、メインパスワードを強固かつ他では使用していないパスワードにするという推奨事項に従っていれば、総当たり攻撃でこのようなパスワードを解読するには、「数百万年かかる可能性がある」から心配無用でしょう、と伝えました。脆弱なパスワードを使用していたユーザーには、直ちにパスワードを変更するよう助言しました。

幸いなことに、カスペルスキー パスワードマネージャーを含めた多くのパスワードマネージャーは、自動的にメインパスワードの強度を確認します。パスワードの強度が低い、または中程度の場合は、パスワードマネージャーによって警告され、これを聞き入れる必要があります。

他では使用していないメインパスワード

二つ目のハッキングの方法は、異なるインターネットサービスに対して同じログイン認証情報を使用する人が多いという事実に基づいています。1つのサービスの侵入に成功した攻撃者は、別のサービスで使用されているユーザー名とパスワードの組み合わせを使って総当たり攻撃を仕掛けます。このような攻撃を「クレデンシャルスタッフィング攻撃」といいます。この種の攻撃はたびたび成功しています。

2023年の最初の週に、この手の攻撃に警戒するよう、Norton Password Managerのユーザーが注意喚起を受けました。この製品の企業であるNortonLifeLock（旧Symantec）は、自社インフラストラクチャが攻撃者によって侵入されたわけではありませんが、2022年12月上旬に、別のサービスへの侵入によりハッカーが入手したパスワードを使用してNorton Password Managerアカウントへの侵入を試みるマス攻撃が行われたことが記録されていた、と発表しました。NortonLifeLockによる調査の結果、この手の攻撃によって一部のユーザーのアカウントにハッカーがアクセスできたことが判明しました。

この出来事から得られる明確な教訓は、異なるアカウントに対して同じパスワードを使用してはならない、ということです。この種の攻撃から自身を守る技術的な方法として、カスペルスキー パスワードマネージャーであれば、あなたのパスワードデータベースに対して2つの重要な検証を行うことができます。

1つめは、パスワードが他で使用されていないことを検証します。もし保存したパスワードが他のアカウントでも使用されている場合には、警告のメッセージが表示されます。

2つめに、カスペルスキーのパスワードマネージャーは、あなたのパスワードが侵害を受けたデータベースにあるかどうかを検証します。このパスワード検証を安全に行うために、SHA-256暗号ハッシュアルゴリズムが使用されます。これは、検証するためにパスワードそのものを送信しない、ということを意味します。代わりに、各パスワードのチェックサムを計算し、算出されたハッシュと侵害を受けたパスワードのデータベースのチェックサムと比較します。チェックサムが一致する場合、パスワードが漏洩しているため、変更する必要がある旨が警告されます。

しかしながら、これらの検証はツールに保存したパスワードに対してのみ実行されることに留意してください。他のアカウントで使用していないパスワードをメインパスワードとして使用することは、あなた次第です。メインパスワードを把握しているのはあなただけであり、他と違うものである必要があります。

覚えやすいメインパスワード

メインパスワードが流出する他の方法があります。これは、非常にシンプルな人間的な要因によるものです。たとえば、人によってはメインパスワードを、デスクトップの暗号化されていないファイルや、オフィスの壁に貼り付けたポストイットなど、盗み出せる場所にメモしています。

書き留める代わりに、記憶に留めるようにしましょう。パスワードは長くて複雑なものにすべき、というセキュリティ原則があるのは事実です。場合によっては、12から16文字のランダムな組み合わせを生成するように勧められることもあります。そのようなパスワードを記憶するのは難しいです。これこそ、多くの人々がシンプルなパスワードを使用する理由であり、こういったユーザーがハッカーの標的になってしまうのです。

では、あなたが使用するメインパスワードを強固かつ記憶できるものにするには、どうすればよいでしょうか。私たちがよく推奨するのは、3つまたは4つのシークレットワードに基づくパスワードを使用することです。例えば、これまでに最高の休暇を過ごした場所の名前を書き出し、それにその休暇で一番気に入ったバーの名前とそこで飲んだカクテルの名前を追加します。このようなパスワードは長くて他では使用されていないものとなり、なおかつ覚えやすいものとなります。もちろん、あまりにたくさんのカクテルを飲んでおらず、それらの事柄を別々に覚えていれば、の話ですが。