はじめに
最近、不正に入手したIDとパスワードによって不特定多数の人のアカウントへのログインを行おうとする「パスワードリスト型攻撃」の被害事例が多数報告されるようになっています。このようなサイバー攻撃の被害に遭うのを防ぐための対策としては、パスワードを使い回さないこと、パスワードを定期的に変更すること、推測が容易なパスワードを利用しないことなどが推奨されています。ただ、多数の複雑なパスワードを頭の中だけで覚えておくのはほぼ不可能であるため、パスワードマネージャーの利用は必須と言えます。
このような背景から、今回は、オーストラリア・サイバーセキュリティセンター(ACSC)がインターネット上で公開している、パスワードマネージャーの効果的な使い方についてのわかりやすいガイドを翻訳してみました。
ACSCとは
ACSCは、サイバーセキュリティに関する助言、支援、対応を行うオーストラリアの政府機関です。
*公式サイト:https://www.cyber.gov.au/
*【翻訳元資料】「すぐ実践できる!パスワードマネージャーを安全かつ効果的に使うための3つのポイント」
:”Quick Wins for your Password Managers”
パスワードマネージャーとは?
私たちのお金やビジネス、スマートハウスの装置にいたるまで、私たちの生活の多くの部分がパスワードによって守られています。これらすべてのパスワードを覚えるのはとても大変なことであり、特に、アカウント毎に必要なパスワードが異なる場合はなおさらです。そこで役に立つのが、パスワードマネージャーです。
パスワードマネージャーは、すべてのアカウントのパスワードを安全に保存、生成、管理するアプリケーションです。パスワードマネージャーを使用すると、1つのマスターパスワードを覚えておくだけで、残りのパスワードをパスワードマネージャーが管理してくれます。パスワードマネージャーはパスワードを収納する金庫、マスターパスワードは金庫の鍵だと考えてください。パスワードマネージャーはコンピューターやモバイル端末上で使用することができます。
パスワードマネージャーを安全かつ効果的に使うためのポイント
ポイント #1 マスターパスワードを最強にしましょう
マスターパスワードは金庫の鍵です。誰かがあなたのマスターパスワードを知れば、その人物はあなたのすべてのパスワードにアクセスできるようになってしまうかもしれません。マスターパスワードは、他と重複しない最も強力なパスワードにしてください。
最も強力なパスワードの種類は、覚えておきやすいパスフレーズです。パスフレーズは無作為の単語の組み合わせであり、例えば「crystal onion clay pretzel(クリスタル 玉葱 粘土 プレッツェル、の意)」などです。最も望ましいパスフレーズの条件は以下の通りです。
☐ 14文字以上である。
☐ 4つ以上の単語を無作為に組み合わせて使用している。
☐ 歌詞や名言などのよく使われる言い回しを使っていない。
☐ 複数のアカウントで使い回していない。
パスフレーズは私たちにとっては覚えておくのが簡単で、機械にとっては解読が困難です。
パスワードの再利用はNG
すべてのアカウントに同じパスワードを使うのは安全ではありません。パスワードマネージャーを使えば、すべてのアカウントに異なるパスワードを設定することができます。必要なのはただ、マスターパスワードを覚えておくことだけです。
ポイント #2 多要素認証を有効にしましょう
多要素認証とは、パスワードマネージャーのセキュリティを高める手段のことです。
多要素認証では、パスワードマネージャーの機微な機能にアクセスできるようになる前に、2つ以上の方法を用いて本人であることを証明する必要があります。通常、以下の中から2つ以上を組み合わせた認証が求められます。
☐ あなたが知っていること(例:パスフレーズまたはPIN)
☐ あなたが持っているもの(例:認証アプリまたは物理的なトークン)あるいは
☐ あなた自身のこと(例:指紋または顔認証)
パスワードマネージャーで多要素認証を有効にすることで、安全性をさらに高めることができます。つまり、あるサイバー犯罪者があなたのマスターパスワードを知ったとしても、他の認証方法によってパスワードマネージャーの安全性が保たれているため、そのサイバー犯罪者はあなたの他のパスワードにアクセスすることができないのです。
ポイント #3 自分に合ったパスワードマネージャーを選びましょう
パスワードマネージャーにはさまざまな種類のものがありますが、それらの品質や安全性は異なります。パスワードマネージャーを選ぶ際には、そのベンダーが良い評判を得ているか、その製品が強力なセキュリティ機能や強力なプライバシー機能を備えているか、そして定期的なセキュリティアップデートで保全されているかを確認するためのリサーチを行ってください。
パスワードマネージャーの機能は、各製品によってさまざまです。どの機能が自分にとって重要なのかを考えてみましょう。お使いのパスワードマネージャーが、以下のような機能を備えているかを確認してみてください。
☐ 家族を対象としたプランがある。
☐ 複数の端末にわたってパスワードを管理できる。
☐ 使用しているすべての異なる端末をサポートしている。
☐ 保存されたパスワードを自分だけが見ることができ、パスワードマネージャーの開発元企業でさえもそれらを閲覧できないことが保証されている。
多くのパスワードマネージャーは無料で提供されており、中には特定の端末やプログラムに付属しているものもあります。
「ログイン状態を保存する」機能の使用時はご注意を
パスワードマネージャーの中には、「ログイン状態を保存する」機能を持つものがあります。「ログイン状態を保存する」を選択すると、パスワードマネージャーはお使いのデバイスを信頼し、マスターパスワードの入力を求める頻度が低くなります。
公共のコンピューターにログインしていたり、他のユーザーとデバイスを共有している場合は、パスワードマネージャーの「ログイン状態を保存する」機能を使用しないでください。
上記のような状況で「ログイン状態を保存する」機能を使用すると、そのデバイスを使用している他の人物があなたのアカウントにアクセスする可能性があります。
最後に
以上、オーストラリア・サイバーセキュリティセンターによる「すぐ実践できる!パスワードマネージャーを安全かつ効果的に使うための3つのポイント」の翻訳でした。
なお、マキナレコードでは、平日毎日、海外のサイバーニュースのダイジェストを更新・公開しています。
よろしければ、こちらもご覧ください。
Cyber Alert【平日毎日更新】
https://codebook.machinarecord.com/category/cyber-alert/
Weekly Cyber Digest【毎週金曜更新(平日のみ)】
https://codebook.machinarecord.com/category/weekly-cyber-digest/
Analyst’s Choice【毎月1回更新】
:弊社インテリジェンスアナリストによる脅威分析
https://codebook.machinarecord.com/category/analysts-choice/
免責事項
今回翻訳・掲載したガイドの免責事項について、ACSCは以下のように明記しています。
本ガイドの内容は一般的な性質のものですので、法律上の助言と見なしたり、特定の状況や緊急事態における支援のために依拠したりしないでください。重要な問題については、ご自身の状況に応じて、独立した専門家の適切なアドバイスを受けてください。本ガイドに記載されている情報に依拠した結果として発生した損害、損失、費用について、オーストラリア政府は一切の責任を負いません。
*[4ページ]https://www.cyber.gov.au/sites/default/files/2023-03/acsc_quick_wins_password_manager_guide.pdf
読者の皆さまには、以上の点をご留意いただけますようお願い申し上げます。