情報のデジタル化が進む現代において、パスワードはセキュリティの要として重要な役割を担っています。しかし、容易に解読できる弱いパスワードは、ビジネスに多くのリスクをもたらすのです。
本記事では、弱いパスワードがもたらす5つのリスク、主要なパスワード攻撃の種類、そして強力で安全なパスワードの作成ポイントについて詳しく説明します。
弱いパスワードがもたらす5つのリスク
容易に解読や予測ができる弱いパスワードは、サイバー攻撃のリスクを高めます。まずは弱いパスワードが企業にもたらす5つのリスクを見ていきましょう。
不正アクセス
弱いパスワードは、不正アクセスを狙うサイバー犯罪者に対する招待状といっても過言ではありません。たとえば、2019年に起きたクレジットカード会社Capital Oneのデータ漏洩事件では、サイバー犯罪者は1億人以上の顧客情報にアクセスしました。
原因は明確に言及されていませんが、攻撃者が弱いパスワードを推測し、不正アクセスしたことがきっかけといわれています。このように弱いパスワードは、ネットワークやシステム内への侵入を容易にし、データ漏洩やハッキングなどの被害を招くのです。
情報漏洩
Verizon社の「2022年情報漏洩調査報告書」によれば、情報漏洩の81%は「脆弱な認証情報や盗まれた認証情報が原因」とのことです。また、盗まれた認証情報の数も2017年から30%近く増加していることも判明しています。
この調査が示すように、サイバー犯罪者はパスワードを利用して、組織のシステムに侵入し、情報漏洩を引き起こします。また、盗まれた認証情報が利用されている点にも注意が必要です。サイバー犯罪者は、ダークウェブでパスワードなどの認証情報を取得し、それを利用して不正アクセスします。
サイバー攻撃を招くリスク
弱いパスワードはサイバー攻撃の標的になるリスクを高めます。詳しくは次の項でご紹介しますが、フィッシング攻撃やソーシャルエンジニアリングなどのさまざまなサイバー攻撃を招きます。これらの攻撃によって、企業は情報漏洩やシステムの混乱に直面するのです。
セキュリティコスト
サイバー攻撃の被害に遭えば、データ回復や法的手続き、顧客通知、セキュリティ強化のための費用が発生します。IBMのセキュリティコスト調査によれば、情報漏洩のグローバル平均コストは445万ドル(約6.7億円)とのこと。
また、警察庁の調査では、ランサムウェア被害に関連して要した費用で1,000万円以上と回答した企業は全体の30%を占めます。サイバー攻撃の被害にあうと、事業存続を脅かすほどの費用が発生するのです。
主なパスワード窃取攻撃
ここでは、パスワード情報を盗み取ろうとするサイバー攻撃を見ていきましょう。
フィッシング攻撃
フィッシング攻撃は、偽のウェブサイトや電子メールを使って、被害者からパスワード情報や個人情報をだまし取る詐欺手法です。攻撃者は実在する組織やサービスのように装い、被害者を偽のログインページに誘導し、パスワード情報を盗み取ります。
たとえば、攻撃者は企業のロゴやデザインを採用したメールを作成し、従業員へと配信します。メールには「セキュリティの向上のため、企業内部のアカウント情報を更新してください。以下のリンクをクリックしてログインしてください。」というメッセージが含まれ、従業員がリンク先でユーザー名とパスワードを入力すると、攻撃者は認証情報を得られる仕組みです。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、攻撃者が人間の心理や信頼関係を悪用して情報を収集する手法です。攻撃者は対話を通じて被害者からパスワード情報を引き出そうとします。
ブルートフォース攻撃
ブルートフォース攻撃では、あらゆるパスワードの組み合わせを試行し、正しいパスワードを見つけようとします。攻撃者は、ブルートフォース攻撃ツールを使用し、さまざまなパスワードを試行します。まずは簡単なパスワードから始め、可能な限り多くの組み合わせを試すのです。
強力なパスワードを持つユーザーアカウントは、ブルートフォース攻撃から保護されますが、弱いパスワードを持つアカウントは簡単に特定されます。攻撃者が弱いパスワードを持つアカウントを発見した場合、そのアカウントにアクセスし、企業のデータへと侵入するのです。
ディクショナリ攻撃
ディクショナリ攻撃は、あらかじめ用意された単語や一般的なフレーズを使用してパスワードを総当たりで試行する攻撃手法です。弱いパスワードに対して有効です。
キーロギング
キーロギングは、攻撃者がユーザーのキーボード入力を記録する手法です。被害者がパスワードを入力すると、攻撃者はそれを記録します。銀行のインターネットバンキングなどで、セキュリティキーボードが用意されている理由は、キーロギングを防ぐためです。
SQLインジェクション
ウェブアプリケーションに対するSQLインジェクション攻撃では、攻撃者はウェブサイトのデータベースにアクセスし、パスワード情報を取得しようとします。具体例を見てみましょう。
攻撃者は、企業のウェブアプリケーションに不正アクセスをするため、検索フォームなどにSQLインジェクション攻撃のコードを挿入しようとします。
もしウェブアプリケーションが適切にセキュリティ対策されていない場合、攻撃者はユーザーの個人情報や機密情報を含むデータベース内へアクセスできるのです。
強力で安全なパスワードの作成ポイント
セキュリティ対策におけるパスワードの重要性を理解したところで、強力で安全なパスワードの作成ポイントを見ていきましょう。
複雑で長いパスワードにする
パスワードは長さが重要であり、英数字や特殊文字を組み合わせた複雑なものであるほど強力です。最低でも12文字以上の長さが推奨されます。
たとえば、「P@ssw0rd1!」や「Tru3$ecurePa$$w0rd」など、英数字と特殊文字を組み合わせた長いパスワードは強力です。一方、一般的な言葉や単語、「123456」のような単純な羅列は避けましょう。
パスワードの使いまわしを避ける
同じパスワードを複数のサービスで使用しないでください。従業員のSNSアカウントのパスワードが漏洩し、自社の機密情報へ不正アクセスされるなどのリスクが生じます。銀行アカウントやメールアカウント、SNS、SaaSサービスなどの各アカウントに対して異なるパスワードを設定しましょう。
パスワードマネージャーを活用する
パスワードマネージャーは、複数の複雑なパスワードを生成、保存、管理するための便利なツールです。クラウドサービスが一般的になった現代において、複雑なパスワードを管理するのは困難です。パスワードマネージャーを活用することで、自動で強力なパスワードの生成から管理まで行えます。
多要素認証を導入する
多要素認証は、パスワードに追加のセキュリティ層を提供します。通常、何かを知っている(パスワード)と何かを持っている(スマートフォンなど)を組み合わせます。たとえば、パスワードとワンタイムパスワード、パスワードとSMSコードなどの組み合わせです。多要素認証を導入することで、パスワードが漏洩しても、サイバー犯罪者の不正アクセスを防げるようになります。
定期的に変更する
パスワードを定期的に変更することは、セキュリティを維持するために重要です。3〜6ヶ月ごとにパスワードを変更しましょう。
ウェブブラウザに保存しない
ウェブブラウザにパスワードを保存するのは避けたほうが賢明です。 ウェブブラウザにパスワードを保存すると、他の人が同じコンピュータやデバイスにアクセスできる場合、保存されたパスワードは簡単に取得できるためです。これはパソコンやスマートフォンを共有している場合、デバイスが紛失・盗難した場合に特に危険です。
また、ウェブブラウザにはセキュリティ上の脆弱性があります。脆弱性が修正されるまでの間に、サイバー犯罪者によってパスワードが盗まれる可能性があるのです。
セキュリティを最優先する場合、ウェブブラウザにパスワードを保存せず、代わりに信頼性のあるパスワードマネージャーを使用することをおすすめします。
従業員教育をする
多くの従業員が強力なパスワードを使用していても、一部の従業員の弱いパスワードがきっかけで、情報漏洩が生じるケースは多々あります。
このような事態を防ぐためにも、強力なパスワードの作成方法やセキュリティの重要性について従業員に教育し、社内のセキュリティ意識を高めることが重要です。具体的には、フィッシング詐欺を見極める方法や怪しいURLはクリックしない、パスワードの使いまわしを避けるなどを教育します。
まとめ
本記事では、脆弱なパスワードがもたらすリスクとパスワードを狙ったサイバー攻撃の種類、強力なパスワードの作成方法を見てきました。脆弱なパスワードはサイバー攻撃の入り口となり、情報漏洩や多額の金銭的損失などの被害をもたらします。
まずは長く複雑なパスワードの作成、使いまわしを避ける、そして多要素認証の導入に取り組みましょう。同時に従業員のセキュリティ意識を高めるトレーニングも重要となります。一部の従業員の弱いパスワードが原因で、サイバー攻撃の被害を受けるケースが多々あるためです。
また、定期的にダークウェブ監視を行うことをお勧めします。ダークウェブでは企業から漏洩したパスワードや機密情報などが売買されています。ダークウェブを監視することで、自社情報の漏洩状況を確認し、迅速に対策を講じられます。
弊社はダークウェブ調査(無料)を実施しています。
こちらからお申し込みください。
