強力なパスワードを作成する方法と保存場所

毎年、5月第一木曜日は「世界パスワードデー」です。この日は、パスワードやインターネットセキュリティに関する意識を高める目的で10年以上前に制定されました。今回は、皆さんの日々の生活の中で大切なこと、パスワードについて今一度再確認していただくために、パスワードの作り方、安全に保管する方法、そして「qwerty12345」のようなパスワードが厳禁な理由について説明します。

最近では複雑なパスワードやパスワード管理ツールを使用する人も増えていますが、推測しやすく、何度もハッカーの手中に落ちるような脆弱なパスワードや複数のアカウントで使い回すパスワードを、依然として多くの人が使用しています。なぜこのようなことが起こるのか、そしてどのように対処すればよいのか、今回の記事で説明します。

漏えいを発見する方法

当社のグローバル脅威インテリジェンスネットワークである、Kaspersky Security Network（KSN）が重要な役割を果たします。KSNは、世界中のサイバー脅威データを収集、分析しており、そのほとんどは顧客から匿名かつ自発的に提供されています。個人を特定しないこのデータは、当社の機械学習アルゴリズム（AI）とエキスパートの手によって分析され、新種のサイバー脅威への対応を高速化します：新しい脅威が出現してからKSNの参加者がその脅威を知るまでの平均時間は、わずか40秒です。

2023年にはKSNユーザーのパスワードに対する攻撃が、3,200万回以上試行されたことが判明しています。ちなみにその前の年2022年はそれ以上で、4,000万回でした。つまり、パスワードのハッキングが世界中で1秒に1回以上試行されていることになります。さらに、2023年後半の調査によると、攻撃は個人ユーザーだけに影響を与えるわけではなく、企業も影響を受けていることが明らかになりました。調査対象となった中小企業の76%は、過去2年間に少なくとも1件のサイバーインシデントに直面しており、攻撃の約4分の1（24%）は、脆弱なパスワード、使い回しのパスワード、古いパスワードの使用が原因であることがわかりました。

データのチェック方法

データとパスワードが侵害されていないかどうかをチェックする方法は、次の3つです：

1. カスペルスキー スタンダード、カスペルスキー プラス、カスペルスキー プレミアムで使用されているユーザーのメールアドレスで確認します。この方法はシンプルです。ユーザーとその身近な人々がアカウントに使用しているメールアドレスを、アプリケーションに入力するだけです。パスワードを含む個人データがインターネットやダークウェブに漏えいしているかどうかが、これでわかります。当社のアプリケーションは、漏えいしたデータそのものを受信したり保存したりすることはなく、その種類に関する情報を提供するだけですのでご安心ください。パスワード、自宅の住所、IDやパスポートのデータ、クレジットカード番号、またはそれらの組み合わせが流出した場合は、アラートが通知されます。また、単にアラートを出すだけではありません。データ漏えいのタイプに応じて固有の対応が必要となるため、取るべき措置に関する適切なアドバイスが、サイバーセキュリティのエキスパートから提供されます。
2. カスペルスキー プレミアムで使用されているユーザーの電話番号で確認します。この方法はメールでチェックする方法と似ていますが、メールアドレスではなく電話番号にリンクされたアカウントを対象とします。このようなアカウントは、より「重要な」サービス、たとえば銀行、政府機関、大手のeコマースサイトなどとリンクしていることが多いため、データが漏えいすると深刻な影響がでる可能性があります。アプリケーションで電話番号を指定するだけで、データ漏えいが発生していないかどうかをチェックできます。自分の番号だけでなく、家族や親戚などの電話番号をチェックすることも可能です。最大の利点は、メールアドレスと電話番号を一度入力するだけで、それ以降はWeb上で継続的に情報漏えいを監視できることです。データが流出し公開された場合、対処方法に関する推奨事項を記載したアラートがすぐに届きます。
3. カスペルスキー パスワードマネージャーの専用アルゴリズムでチェックします。前述の2つの方法では、あらゆる漏えいのシナリオの可能性をチェックします。当社のパスワードマネージャーはそれらとは異なり、ユーザーが保管しているパスワードの分析に重点を置いています。オフラインの状態でも、脆弱なパスワード、使い回されているパスワード、そして強度が十分なパスワードがどれかを判断することができます。さらに、パスワードマネージャーは、すべてのパスワードを漏えいした認証情報のデータベースと定期的に照合し、一致するものがあればユーザーに通知します。

当社のオンラインパスワードチェッカーサービスを使用して、パスワードが漏えいしているかどうかチェックすることもできます。チェックしたいパスワードを入力するだけで、そのパスワードが漏えいパスワードのデータベースで何回出現したか、またセキュリティの面で安全かどうかが、システムが教えてくれます。

残念なお知らせです：パスワード「qwerty12345」はこれまでに285,287回漏えいしています

しかし、この方法は前の3つに比べて欠点が1つあります：パスワードマネージャー、カスペルスキー プラス、カスペルスキー プレミアムは、バックグランドで自動的に漏えいを監視可能であるのに対し、この方法では毎回手動でチェックが必要な点です。

すると、当社はすべてのユーザーのパスワードを保管しており、アクセスも自由にできる、ということになるのでしょうか？もちろん、そんなことはありません。当社の従業員は、ユーザーの機密データに誰一人としてアクセスできません。開発者、アナリスト、エディター、デザイナー、そしてたとえCEOであるユージン・カスペルスキーも同じです。当社のゼロ知識ポリシーについては、こちらで既に詳しく説明しています。次は、パスワードマネージャーに保管されたパスワードにアクセスできない理由を説明します。

カスペルスキー パスワードマネージャーにパスワードを保管する方が簡単で安全な理由

すべてのパスワードを記憶したり、メモ帳アプリなどに保存したりするのは危険です。パスワードマネージャーは、そうした目的に特化して設計された、パスワード管理専用の製品です。この製品は、Webサイトやアプリケーションで強力で独自のパスワードを作成、保存、自動入力し、漏えいがないかチェックし、二要素認証コードを生成します。

パスワードマネージャーの動作について、簡単に説明します。すべてのパスワードは、AES-256対称暗号化アルゴリズムを使用して暗号化された保管庫に保存されます。この暗号化規格は、米国NSAによって政府の機密情報の保存に使用できるほど強力であると考えられています。暗号化鍵は、この製品の初期セットアップ時に作成するメインパスワードです。データ保管庫にアクセスするたびに、パスワードマネージャーは、このパスワードの入力を要求し、それを使用してデータを復号します。

パスワードだけでなく、クレジットカード番号、スキャンした文書、メモなどの重要なデータも、同じデータ保管庫に保管できます。このように、機密データは暗号化された「極秘」の形式ですべてのデバイス間で保存され、同期されます。

このレベルのセキュリティは、ブラウザーにパスワードを保存するよりもはるかに優れています。ブラウザーがパスワードの保存を何度も提案してくることがありますが、その提案には同意しない方がよいでしょう。ブラウザーに保存したパスワードは、数秒で抜き取られてしまう危険性があります。

パスワードマネージャーの暗号化された保管庫へのアクセスは、メインパスワードを使用した時のみ許可されます。当社はこのパスワードについて関知せず、どこかに保存することもありません。このパスワードを忘れてしまった場合、保管庫の内容は復元不可能となり、新しい保管庫を作成する必要があります。この方法により、最高レベルのセキュリティが保証されます。何らかの方法でパスワードマネージャーの暗号化された保管庫にハッカーがアクセスしたとしても、保管されたパスワードやクレジットカードの詳細、その他の保存された文書を読み取ったり流出させたりすることはできません。

パスワードが不明な状態でその漏えいの有無をチェックできる理由

ここで役に立つのが、Secure Hash Algorithm 1（SHA-1）です。SHA-1は任意のデータを取得し、それを使用してハッシュ値（入力データに独自の固定長のバイナリ文字列）を作成します。たとえば、実際のパスワードが「qwerty12345」の場合、「SHA-1言語」によるハッシュ値は次のようになります：4e17a448e043206801b95de317e07c839770c8b8

それぞれの固有のパスワードは常に同一のハッシュを生成し、2つのハッシュが一致する場合、元のパスワードも一致します。KSNには、ハッキングされ漏えいした既知のすべてのパスワードについて計算されたハッシュを保存されています。パスワードをチェックするために、デバイス上でハッシュを計算し、その前半部分のみをKasperskyのサーバーに送信します。そして、先頭部分が同じである漏えいしたパスワードのハッシュをすべて探します。これらのハッシュはデバイスに送り返され、それぞれのハッシュがパスワードのハッシュ全体と比較されます。完全に一致するものが見つかった場合、パスワードが漏えいしていることになります。

したがって、当社がユーザーのパスワードを知ることはありませんし、パスワードが暗号化されていない形でデバイスから送信されることもありません。理論的には、ハッシュから元のパスワードを復元することは可能ですが、パスワードの完全なハッシュがデバイスからどこかに送信されることはありません。KSNサーバーに送信されるのはハッシュの断片のみであり、ハッシュの一部から元のパスワードを復元することは不可能です。そのため、パスワードの漏えいチェックの安全性は完璧です。

メインパスワードの決め方

パスワードマネージャーを使用する場合、覚えておくべきものは、メインパスワードのみです。パスワードマネージャーはメインパスワードを使用して、保管庫内のデータを暗号化します。したがって、メインパスワードの作成には細心の注意を払うことを推奨します。メインパスワードとして「qwerty12345」を使用することは、貴重品をすべて金庫に入れて、鍵を鍵穴に差し込んだままにしておくようなものです。このパスワードの作成プロセスを簡単にし、確実に覚えられるようにするために、パスワードの強度と記憶しやすさを両立させるヒントを次に示します：

好きなフレーズ、言い回し、歌の歌詞などを思い浮かべてください。フレーズの各単語から1文字（最初の1文字でなくてもOKです）、または複数の文字を組み合わせ、それらの間に特殊文字を挿入します。数字や特殊文字に似ている文字を、その似ている記号にそれぞれ置き換えてみましょう。

例：

「フォースと共にあらんことを（May the Force be with you）」 — M@y!T!4!B!W!U

優れたパスワードとは、必ずしも覚えづらい特殊文字を多く含んでいるものではありません。解読されにくいことが重要です。パスワードチェッカーオンラインサービスを使用して、新しく作成したパスワードをテストしてください。パスワードの強度が十分であることが確認できたら、そのパスワードをパスワードマネージャーのメインパスワードにしましょう。覚えておかなければならない唯一のパスワードは、これだけです。Webサイトやアプリで使用するその他のパスワードはすべて、当社のパスワードマネージャーが生成、保存し、自動入力できるようにしてくれます。

パスワードを頭の中に保存する従来の方法がお好きな方は、思いついた組み合わせをベースとして使用し、各サービスやWebサイトごとに記憶しやすい「拡張子」を追加して、すべてのパスワードが一意になるようにしてください。このテクニックに関する詳細なガイドがあります。もう1ついい方法があるのですが、ご存じでしょうか？パスワードマネージャーを含む多くのサービスでは、絵文字と顔文字を使用したパスワードの作成が可能です。

まとめ

• 信頼性が高い保護機能を使用しましょう。これにより、パスワードやその他の機密データの安全性を確保できます。
• 記憶しやすいパスワードを作成してください。このテクニックは、強力で覚えやすいパスワードの作成に役立ちます。
• パスワードマネージャーにパスワードを保管するようにしてください。強力なパスワードをたった1つ作成して記憶しておけば、あなたの大事なデータはすべてパスワードマネージャーが保護します。
• 同じパスワードを、複数のサービスやWebサイトで使い回さないようにしてください。あるサービスからデータが漏えいすると、そのパスワードがハッカーに知られてしまい、別のアカウントの侵害を容易に許す結果となってしまいます。パスワードは一意にしておくのが最善です。理由はこの記事を参照してください。
• 可能な限り、二要素認証（2FA）を有効にしましょう。これにより、アカウントのセキュリティが多層化されます。パスワードが漏えいした場合でも、一意の2FAコードによって不正アクセスを防止することができます。パスワードマネージャーでは、2FAトークンの保管や、ワンタイムコードの生成も可能です。