はじめに
たくさんのWebサービスを使っていて、たくさんのアカウントを持っていて、そこでどんなパスワードを使っているでしょうか。
パスワードの使い回しはよくないし、強いパスワードを使いたいと思っていても、どんな方法でパスワード管理をするのがいいか、迷っている人もいるかと思います。
このコースでは、具体的にセキュリティレベルを高める方法を実践していきます。
強いパスワードとは、こういうものを指します。
1Passwordというパスワード管理アプリを使って、強固なパスワードを生成しておいて、Webサイトにログインするときに呼び出すことができます。
パスワードマネージャーと呼ばれるもので、Mac/Windows/Linux、iOS/iPadOS、Androidなど、さまざまなプラットフォームに対応しています。
さらに、iPhoneのSIMカードをパスワードで保護する方法や、情報セキュリティについて、どんな脅威があるのかを学びます。
パスワードの漏えいの危険は、ネット上だけでなく、リアルにも潜んでいます。
セキュリティレベルを高めて、安心していろんなツールを使える環境を整えていきましょう!
関連リンク
家族、ビジネス、チームのためのパスワード管理ツール | 1Password
強力で安全、かつランダムなパスワードの作成|Password Generator | 1Password
1Passwordを導入する
1Passwordはパスワード管理アプリです。強固なパスワードを生成しておいて、Webサイトにログインするときに呼び出すことができます。
パスワードマネージャーと呼ばれるもので、Mac/Windows/Linux、iOS/iPadOS、Androidなど、さまざまなプラットフォームに対応しています。
パスワードは1Passwordから簡単に呼び出すことができるので、パスワードを手打ちする必要はありません。なので、ひるむことなく長くてランダムで複雑なパスワードを、あらゆるサービスで使うことができます。
ブラウザの機能拡張もあるので、いまログインしようとしているWebサイトのURLに基づいて、1Passwordに保存されたパスワードが自動的に入力されます。あとは、使用したいアカウントを選ぶだけでログインできます。
覚えるのは、1Passwordをロック解除するためのパスワード1つだけでOKです。
サーバーやデータベース、Wi-Fiルーターの情報も保存できるし、他にも、免許証やパスポート、クレジットカードや銀行口座などの情報も、画像とともに保存できます。
ある日、パスポート番号が必要になったとき、1Passwordですぐに調べることができます。
病院に保険証のコピーを提出する必要があれば、1Passwordに保存された画像をもとに、コンビニでプリントアウトできます。
バージョンについて
2022年現在での最新版は「1Password 8」です。
4,5,6,7とバージョンが上がってきて、バージョン8は、アプリの開発にとってはかなり大きな変更だったようです。
今後、バージョンが戻ることはありませんので、最新版をインストールしましょう。
おそらく、今後はバージョンはあまり気にせずに使っていけるのかなと思います。
価格について
ひとりで使う場合のプランは、月額450円、年間で支払うと4,000円です。
まずは「14日間の無料お試し」で使ってみましょう。
アカウント作成と、アプリのインストール
1Passwordを初めて使う場合は「無料でお試し」から「アカウントの作成」へと進みます。
アカウントを作成したら、1Passwordのアプリをダウンロードしてインストールします。
ブラウザからログイン
ブラウザからログインして「My Profile」から「Change Language」へと進んで、日本語化します。
「お支払い」から、サブスクリプションの状態を確認できます。
このように、ブラウザからアクセスするWeb版の1Passwordもあります。ですが、通常はアプリで使っていきます。
関連リンク
家族、ビジネス、チームのためのパスワード管理ツール | 1Password
Mac版1Passwordアプリの設定
Mac版1Passwordアプリの設定をしていきます。
メニューバーから「環境設定」を開いて、「一般」タブを選択します。
「メニューバーに1Passwordを固定する」は、右上のメニューバーに1Passwordのアイコンを表示するかどうかです。必要がなければ、このチェックを外します。
次に、キーボードショートカットで1Passwordを呼び出す必要がなければ、他のアプリと競合しないように、このショートカットを「×ボタン」で削除しておきます。
「外観」タブの「サイドバーで常に表示する」から、「カテゴリー」を表示しておくと、1Passwordアプリのサイドバーに表示されて便利です。
次に「ブラウザ」タブの「ブラウザ用1Passwordを入手」から、ブラウザの機能拡張をインストールします。
インストールが完了したら、Safariのメニューバーから「設定…」を開いて、「機能拡張」タブを選択します。Safari用1Passwordに権限を与えます。
iOS版1Passwordアプリの設定
iOS版1Passwordアプリの設定をしていきます。
AppStoreから1Passwordのアプリをインストールしてログインします。
次に、iPhoneの「設定」から「Safari」へと進みます。「機能拡張」から「1Password」へと進んで、チェックをオンにします。これで、Safariから1Passwordの機能拡張を使えるようになりました。
「設定」から「パスワード」へと進みます。「パスワードオプション」を選択して「パスワードの自動入力」をオンにして、「1Password」にチェックを入れます。これで、1Passwordの自動入力の許可ができました。
1Passwordアプリを開いて、「アイテム」タブを選択します。一番下の「カスタマイズ」から「カテゴリー」の表示をオンにしておきます。ここで順番を並び替えたり、必要ないものを非表示にできます。
このように、「カテゴリー」を表示しておくと便利です。
iPhoneのSIMカードをPINロックする
iPhoneのSIMカードをPINロックする方法です。
たとえばiPhoneを落としてしまったら、「探す」アプリや、iCloudの「iPhoneを探す」から、デバイス上の情報を消去することができます。
それとは別に、iPhoneの中に入っているSIMカードが物理的に抜き取られてしまった場合に備えて、SIMカードにパスワードをかけておきましょう。
この設定をすると、iPhoneを再起動したときや、SIMカードを抜き差したあとに、SIM PIN(Personal Identification Number)の入力を求められるようになります。
iPhoneの「設定」から「モバイル通信」へと進み、「SIM PIN」を選択します。「SIM PIN」をオンにして、まずはデフォルトのSIM PINを入力するのですが、3回連続で間違うとロックがかかってしまうので慎重に行なってください。
ロックがかかると、キャリアのマイページや店舗、お客さまセンターに連絡して、PINロック解除コード(PUKコード)を確認する必要があります。
デフォルトのSIM PINは、キャリアによって異なりますので、各キャリアのページで確認してください。だいたい「0000」「9999」「1234」のようなものです。
関連リンク
iPhone や iPad で SIM PIN を使う - Apple サポート (日本)
2分でわかる情報セキュリティ
2分でわかる情報セキュリティです。
情報処理推進機構(IPA)が毎年発行している「情報セキュリティ白書」からも、セキュリティに関する被害実態は、何かが減って何かが増えたとかではなく、毎年同じような顔ぶれです。
ずっと同じような方法で被害が起きているわけなので、むしろ共通する部分さえとらえておけば、情報セキュリティは難しいことではありません。
情報セキュリティ対策は、大きく分けて「技術、人、ルール」と言われます。
技術は、ファイアウォールやツールの導入など。
人は、セキュリティに関する認識。
ルールは、それらを運用するための取り決めです。
この3つがバランスよく対策されていることが重要です。
「情報セキュリティ白書」の他にも、総務省が公開しているガイドラインにも、目を通してみてください。
ところで、強固なパスワードって?
【1/4】他のアカウントで再利用されていないオリジナルのパスワード
このように末尾を変更しただけのパスワードは、強いとはいえません。
- Twitter のパスワード|password@twitter
- Facebook のパスワード|password@facebook
- LINE のパスワード|password@line
たとえば、これでTwitterのパスワードが漏れると、他のSNSのパスワードも簡単に推測できてしまいますよね。
【2/4】16文字以上のランダムなパスワード
アルファベットの大文字や小文字、記号を含むことよりも、16文字以上のランダムなパスワードであることが重要です。「ランダム」が太字です。法則性がまったくないということですね。
ランダムかつ覚えやすいパスワードを生成する方法もあります。
【3/4】名前や生年月日など、個人を特定できる情報を含まない
アカウント名やパスワードには、個人情報を特定できる要素を含んではいけません。
さらに、パスワードを忘れた時のために「質問とその答え」を設定することがあると思います。
ここでも、もし情報が漏えいしてしまった場合のリスクヘッジとして、できるだけ個人情報を含まないようにします。
「パスワードを忘れた時の質問とその答え」として、親の旧姓や、出身校、友達やペットの名前、好きな食べ物を入力することがありますが、本当のことを入力する必要はありません。
生年月日は年齢確認の意味合いもあるので、必要であれば入力するとして、それ以外の情報は、パスワードを再発行するために必要な情報にすぎないので、こういった質問の答えも1Passwordで生成できます。
【4/4】2段階認証を有効にする
強固なパスワードを設定したうえで、さらに可能であれば、2段階認証など、多要素認証を有効にします。
さらに2分半で、もっとわかる情報セキュリティ
さらに2分半で、もっとわかる情報セキュリティです。
【1/5】アカウントのゾンビ化
アカウントが乗っ取られたとして、「乗っ取ってやったぞ!」とわかりやすいアクションがあれば、気がついて対応はできると思うのですが、恐ろしいのは、乗っ取られたまま日常を送っているパターンです。
自分のアカウントが、誰かを攻撃するために使われているかもしれないし、誰かにメッセージを送っているかもしれないのです。
さらに、そのパスワードを元に他のアカウントへの乗っ取りを試されているかもしれません。すぐに被害にはあわなくても、より大きな被害へとつながる可能性があります。
FacebookやLINEのグループなど、限られた人だけしか見ることができない場所でも、そこに参加している1人のアカウントが乗っ取られてしまったら、情報は筒抜けになります。
【2/5】CMSの管理画面
たとえばWordPressの管理画面は、デフォルトだと一定のURLになっているので、そのWebサイトの管理画面に辿り着くのは比較的簡単です。
そして、この世界中の管理画面に日々アクセスして、ログインを試みているbotがあります。
プラグインで監視できるのですが、毎日のようにブルートフォースアタック(Brute-force attack)を受けています。ブルートフォースアタックは、総当たり攻撃と呼ばれるもので、4桁のパスワードだとしたら、0〜9、a〜zまでをすべて総当りに試していく方法です。
- 0001|0002|…|9999
- aaaa|aaab|aaac|…|zzzz
WordPressはプラグインで、ブルートフォースアタック対策ができます。
WordPressの管理画面にアクセスされるのを防ぐために、複数の方法を組み合わせます。
- 管理画面のURLを変更する
- アクセス認証をかける
- CAPTCHA(キャプチャ)認証をかける
- 数回ログインを失敗すると、数時間アクセスできないようにする
【3/5】フィッシングサイト
スパムメールも年々巧妙な内容になっていますが、Gmailでほぼ防げます。
独自ドメインのメールも、Google Workspaceで使うことで、Gmailの迷惑メールフィルタで振り分けることができます。
【4/5】占いサイト
占いサイトに入力した生年月日や性別などの情報が、マーケティングに使われることもあるようです。その人の属性がよりわかるようになるので、この先、商品のレコメンドに利用されるかもしれません。
占いに必要なたくさんの質問に答えていったら、最後にその結果を見るには追加の個人情報の入力を求められるなど、とても巧妙に作られています。
【5/5】ソーシャル・エンジニアリング
パスワードの漏えいロウイエイの危険は、ネット上だけでなく、リアルにも潜んでいます。
ビジネスマナーとして「失礼になるから」という断りにくい関係性を装って、情報を抜き取ろうとするものです。
過去に実際にあった話で、会社にかかってくるしつこい営業電話をずっと断っていた社長がいました。ある日、会社に社長がいない時間帯にその営業から電話があります。「ケータイが壊れてしまって、社長のケータイ番号がわからなくなってしまったので教えてください」この電話を受けた人は、そういった事情であればと教えてしまったのです。
【Others】パスキー
まだ対応しているサービスは少ないのですが、パスワードを使用しないログイン方法です。
FIDO(ファイド)とW3C(ダブリュースリーシー)の標準規格をベースとした、安全なアカウント認証方法です。
その仕組みや信頼性を確かめたうえで、積極的に新しいものも取り入れていきましょう。