インターネットサービスのアカウント管理をおろそかにしていると、悪意のある第三者にアカウントを乗っ取られ、金銭や情報を盗み取られてしまうかもしれません。複数のサービスに同一のIDとパスワードを使い回してはならないワケを知り、安全なアカウント管理を行いましょう。

ショッピングサイトやSNS、動画配信サービス、ネットバンキング、スマホ決済など、インターネット上には便利なサービスがたくさんあります。サービスの多くは利用登録が必要で、アカウント作成時には本人認証用のIDとパスワードに加え、個人情報の登録を求められるケースもあります。さて、みなさんはサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*によると、インターネットサービス利用者の約6割が1〜3種類のパスワードだけで複数のサービスを利用しており、パスワードの使い回しをしている利用者は全体の8割を超えました。また、回答者の多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から同じパスワードを使い回していることもわかりました。
*Web調査、調査期間：2020年8月17日〜18日、有効回答数515

しかし、パスワードの使い回しはアカウント保護の観点で望ましくありません。まずは、その理由について見ていきましょう。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手したIDとパスワードを使って、さまざまなサービスへのログインを試みます。これは複数のサービスに同一のIDとパスワードの組み合わせを使い回してしまうユーザの行動の隙を突いてアカウントを乗っ取る手法（アカウントリスト攻撃）です。もし、複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合、どうなるでしょうか。各種サービスのアカウントを芋づる式に乗っ取られ、アカウントの悪用、金銭や情報の窃取などといった被害に遭う可能性があります。このような理由からパスワードの使い回しは避けるべきなのです。

ある大手国内ゲーム会社は2020年4月、独自のネットワークサービスにおいてアカウントリスト攻撃により不正ログインされた可能性のあるアカウントが約16万件に上ったことを公表しました（2020年6月時点では合計約30万件）。同社はサービス利用者に対してパスワードを変更するとともに、他のサービスと同じパスワードを使い回さないよう呼びかけています。

では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

代表的なのがフィッシング詐欺です。これは、実在するショッピングサイトやネットバンキングなどの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象はサービスの認証情報、個人情報、クレジットカード情報など多岐にわたります。サービス事業者から提供される二要素認証を利用している場合も油断はできません。SMSや専用アプリなどで取得できる認証コード（二要素認証情報）を入力させるフィッシングサイトも出現しているためです。

また、サービス事業者の人為的なミスや内部不正、サイバー攻撃がきっかけで利用者のIDとパスワードが流出してしまうケースもあります。何かしらの要因で流出した認証情報はネット上で不正に売買されたり、サイバー犯罪者によって公開されたりすることによって、悪意を持った第三者の手にもわたり、さまざまなサイバー犯罪に悪用されてしまう可能性があるのです。

サイバー犯罪者は、辞書攻撃や総当たり攻撃（ブルートフォースアタック）によってパスワードを探り当てることもあります。辞書攻撃は、辞書や人名録などに載っている英単語やパスワードによく使われる単語のリストを準備し、それらを特定のIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによりパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。したがって、一般的な辞書に載っている単語やフレーズ、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクが高くなってしまいます。

マルウェア（ウイルスなどの不正プログラムの総称）の感染によって認証情報を窃取されてしまう場合もあります。たとえば、入力情報やSMSで受信したパスワードを外部に送信させたり、正規のログインページに偽のページを被せて情報を窃取したり、アプリから偽の通知を表示させて不正サイトに誘導するなどの手口があります。

アカウントの乗っ取りを防ぐ重要なポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。これにより、もしあるサービスのIDとパスワードが流出してしまっても、別のサービスに被害が及んでしまうことを防げます。また、各サービスにおいて第三者に推測されにくい複雑なパスワードを設定することも大切です。さらに、二要素認証などのセキュリティを強化できる認証方法が併用可能なサービスではあらかじめ設定しておきましょう。セキュリティソフトやアプリを最新の状態で利用することも忘れないでください。これにより、フィッシングサイトへ誘導されたり、マルウェアに感染したりするリスクを軽減できます。また手軽な対策としては、サイトにアクセスする前にURLの安全性を確認できるサービスを利用する方法もあります。

しかし、利用するサービスの数が増えれば増えるほどアカウント保護の意識は薄れ、管理がおろそかになるものです。複雑なパスワードを作成したり、メモを参照しながらフォームに入力したりする負担は思いのほか大きいためです。

アカウント管理の煩わしさを解消したい方におすすめしたいのがパスワード管理ツールです。その種類は多く、無料で配布されているものもあれば有償版もあります。共通の基本機能は利用中のサービスと、IDとパスワードの組み合わせの管理です。事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、フォームにIDとパスワードが自動入力*されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。
*対応しているWebサイトでのみ有効。

パスワード管理ツールを選定する際は、機能や価格だけでなく、プライバシーポリシーも確認しましょう。その上で自身の用途に合った信用できるサービスを選ぶことが重要です。たとえば、トレンドマイクロのパスワードマネージャーは、登録された情報をクラウド上に暗号化して保存するため、サービス元もその内容を見ることはできません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、強固なものを自動生成してくれます。このため、少なくとも「異なるパスワードを考えるのが面倒」といった理由でのパスワードの使い回しを防げるはずです。さらに、あらかじめ登録された認証情報やメールアドレス、クレジットカード番号、銀行口座番号などがネット上に流出し、それを検知した際には対処法も合わせて通知してくれます。情報流出を察知できれば、クレジットカードの利用停止の手続きを行うなど、悪用に備えたしかるべき措置をいち早くとることができます。

「アカウント管理の負担を減らしたい」「万一の情報流出に備えたい」と考えている方は、セキュリティ対策にパスワード管理ツールを加えることで、さらなる安心・安全なネット利用につなげましょう。