総務省「ネットのパスワードを小まめに変更は逆に危険」との呼びかけは正しいのか?


 ショッピング、オークション、フリーマーケット……。インターネット上にはさまざまなサービスを提供するサイトがすごい勢いで増えている。どれもあると便利なサービスだが、新規登録する際に、新たなユーザーIDとパスワードを設定するのが唯一のネック。

しかも、アルファベットの大文字、小文字、数字と記号を使い、8文字以上20文字以内などと要求される。律儀にパスワードを毎回ひねり出している人もいる一方、なかにはほかのサービスで使用しているパスワードをそのまま使い回したり、末尾に数字を付け加える程度で済ませているユーザーも多いはずだ。さらに、サイトによっては「定期的なパスワードの変更」を要求されるなど、ユーザーにとってパスワード管理は頭の痛い問題になっていた。

しかし3月末、総務省が方針を変えたが話題になった。総務省の「国民のための情報セキュリティサイト」内の「安全なパスワード管理」の項目に「定期的な変更は不要」との文言が2017年11月に追加されていたのだ。以下がその文言だ。

「パスワードを複数のサービスで使い回さない(定期的な変更は不要)。なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しするようになることの方が問題となります。定期的に変更するよりも、機器やサービスのあいだで使い回しのない、固有のパスワードを設定することが求められます」

●パスワードは定期的に変更すると危険なのか

かつてパスワードを定期的に変更するように助言していた総務省が、なぜ急に方針を転換したのか。ITジャーナリストの三上洋氏に聞いた。

「パスワードを定期的に変更しないほうがいいというのは、おおむね10年ほど前からセキュリティ関係者の間で言われていたことです。ほとんどの研究者が、パスワードの定期的な変更は、デメリットのほうが多いと考えていました。日本のセキュリティ関連のトップ団体であるIPA(情報処理推進機構)でも、2~3年前からパスワードの定期変更については推奨しなくなっています。そういう国内の動向を踏まえ、さらにアメリカのNIST(米国立標準技術研究所)が昨年ガイドラインを変更したことを受けて、日本政府(総務省)も見解を変えたのだと思います」(三上氏)

パスワードを定期的に変更すると、なぜデメリットが多くなるのか。

「定期的に変更をすると、パスワードが単純化してしまうからです。例えば、3カ月に1回変更するとします。面倒なので、従来のパスワードの末尾に変更した年月日(201804)などと付けたり、別のサービスで使っている同じパスワードを使い回すことになるので、パスワードが単純化、パターン化して、穴が多くなりやすいからです。

攻撃する側は、よく使われている単純なパスワードを基に推測したり、すでに漏れているパスワードリストを基に不正ログインしようとするので、定期的な変更をするとデメリットのほうが大きくなるのです。

つまり、『定期的に変更しましょう』とユーザーに呼びかけることが、パスワードをより甘いものにしてしまうのです。だから呼びかけることをやめたのです。もちろん、反論もあり、依然として定期的変更は必要だという研究者の方もいらっしゃいます」(同)

では、どのようにすれば安全なパスワードをつくれるのか。NISTでは、推奨されるパスワードについて、「覚えやすくてもいいので、長くすること」としている。定期的に変更しないというだけではなく、異なる文字種を混在させる必要もないという。

●最新のセキュリティ事情

また、IPAでは2段階認証の積極的な利用も推奨する。ログインの際にパスワードのほかに、もうひとつ認証を加えることで、よりセキュリティを高めるのが2段階認証だ。これなら、ひとつ目のパスワードを破られても、もうひとつの認証が通らないとログインすることはできない。そのなかで、もっとも代表的なのがワンタイムパスワードと呼ばれる1回限りの使い捨てパスワードだ。

「ひとつのパスワードだけに依存しているから危険なんです。それならば、もうひとつ別のパスワードを用意しましょうというのが、ワンタイムパスワードであり、2段階認証とか2要素認証と呼ばれるやり方です。ワンタイムパスワードというのは、1分間だけ有効なパスワードを、その人独自のデバイスに表示するものです。たとえば銀行などでは、トークンと呼ばれる電卓みたいなデバイスを任意で配布、ボタンを押すとその人独自の数字が1分間だけ表示されます。その数字を1分以内に入力すれば、2つのパスワードを使用することになり、より安全になるということです」(前出・三上氏)

ワンタイムパスワードは、銀行のオンライン取引などで推奨されているので、すでに利用しているユーザーも多いだろう。銀行といえば、ATM(現金自動預払機)で使うキャッシュカードと数字4桁の暗証番号がおなじみだが、実はこの組み合わせがすでに2段階かつ2要素認証の走りだ。利用者本人が所持するキャッシュカードに加え、利用者が任意に設定し、本人しか知り得ない暗証番号を使っているからだ。ICキャッシュカードに指紋や掌静脈を読み込ませれば、さらに安全な3要素認証となる。3要素とは下記の3つだ。

・本人だけが知っていること(ID、パスワード、暗証番号)
・本人だけが所有しているもの(キャッシュカード、クレジットカード、スマホ、トークン)
・本人自身の特性(指紋、掌の静脈、眼の虹彩、顔、声、筆跡など)

上記3つのうち2つの要素を使うのが2要素認証、3つすべてなら3要素認証となる。

「ネットサービスの世界ではすでに2段階認証を取り入れていますが、利用するかしないかはユーザーの任意です。ツイッターやフェイスブックの乗っ取りとか、芸能人のiCloudの乗っ取りが起きるのは、2段階認証をやっていない人が多いからです。今後は生体認証が主流になってきます。指紋や目の虹彩、顔や声紋などを使うものです。

ただし、生体認証も完璧ではありません。たとえばアイフォンの指紋認証は、グミで突破できるといわれています。顔認証も暗いところや、起き抜けの顔だと認証しにくいというデメリットがあります。ほかの端末の顔認証は写真でもいけるといわれています。いま理想とされているのは、2段階認証の仕組みにさらに生体認証を組み合わせた多要素認証です。

ITの世界では認証がもっともアナログな状態なので、早くもっとスマートでかつ安全な方法に移りたいところです。認証規格の統一化の動きもあります。世界の大手ITが集まる団体があって、生体認証で安全な仕組みをつくろうとしています。それはFIDO2.0という仕組みですが、アップルが入っていないようなので、まだどうなるかわかりません」(同)

日進月歩のITの世界。不正を働く側も次々に新しい技術で攻撃してくる。ネットを利用する際には、どのようにリスクを管理していくべきか、常にアンテナを張っていかなければならないだろう。
(文=兜森衛)

あなたにおすすめ

すべての人にインターネット
関連サービス