パスワードの管理は、現代社会において非常に重要です。安全な管理を怠ると、情報漏洩や不正アクセスの危険が高まります。パスワードはランダムに生成し、エクセルなどでIDごとに管理すると効果的です。フリーソフトやアプリを活用して、セキュリティをより強固にする方法もあります。証券会社などのセキュリティ管理手法を参考にし、危険を未然に防ぎましょう。
このページでは、安心・安全なパスワード管理方法について解説しています。
閲覧履歴で残るセキュリティ上危険なパスワードの管理方法
Webブラウザには、パスワードを記録する機能が備わっていることが多いです。なかにはパスワードもWEB上に残す便利な機能もありますが、パスワードが履歴に残っていると、セキュリティ上非常に危険と言わざるを得ません。
こうした機能は便利でありながらも、セキュリティ上は非常に危険だとも言えるのでしっかりと対策を行ってください。
パスワードの解除や自動保護を活用し、パスワードの漏れによる危険を回避
Googleは一つのパスワードだけで、Webの閲覧履歴はもとより、予定表、連絡先、メール、クレジット情報など、全ての機密情報にアクセスができます。
このように一つのIDとパスワードで複数のサービスを提供している場合、パスワードの漏洩は非常にリスクが高いです。個人で利用しているIDはもちろんのこと、社内で使用しているIDであればより被害は甚大です。
パスワードが他者に流出した場合、WebブラウザやSNSでは乗っ取りなどの被害にあうかもしれません。また、クレジットカードを用いたサイトなどでは、不正利用といった危険性も警戒しなければなりません。
こうしたリスクを避けるためには、ブラウザのシークレットモードを利用したり、JavaScriptの実行をオフにするといった対策、Cookieの削除や履歴の削除をこまめに行う対策が有効です。
不正解除の方法とは?
引用元:ManageEngine Log360
パスワードの不正解除を行う時に用いられる方法の一つが総当り(Brute-force attack)です。総当たりとは、パスワードの考えられるすべてのパターンを試して、ユーザのアカウント・パスワードを解読する方法です。
例えば、総当り(Brute-force attack)するvbaファイルをターゲットとするパソコンに仕込み、遠隔からvbaファイルにアクセスし、vbaファイルを実行すれば
vbaファイルは容量も小さいため、簡単にファイルを仕込むことができます。心当たりのないvbaファイルがあった場合は、総当り(Brute-force attack)での解除に気をつけると良いでしょう。
ランダムに生成するパスワード作成ソフトの活用が便利
安易で簡単なパスワードを使用すると、それこそ簡単にpasswore(パスワード)を解除されてしまいます。そこで、簡単ではないパスワードを作成するために、ソフトやツールを用いる場合もあります。
これであれば、ランダムに文字列を作成してくれるため、推測ができるような簡単にパスワードで解除をされることもありません。人気のソフトであれ人気がないソフトであれ、ランダムで生成された文字列をパスワードに使用すれば、ある程度のセキュリティは保たれるはずです。もちろん、解析ツールなどを使い総当たりでパスワードを解析されれば、強制解除という結果を招く場合もあります。
しかしながら、解析ツールやソフト・アプリで総当り(Brute-force attack)解析をされたとしても、簡単ではない難関なパスワードであれば、瞬時解除や一発解除といったリスクからは逃れることができるでしょう。こうした理由から、最近ではパスワード作成ツールはWebサイトなどにも組み込まれるなど人気があるのです。
生成したパスワードの管理はIDごとにエクセルで管理が便利
ツールやアプリ・ソフトで簡単ではない難解なパスワードを作成した場合、IDごとに管理を行う必要があります。フリーソフトやフリーアプリを無料ダウンロードして管理する方法もおすすめですが、まずはExcelでの管理が簡単でおすすめです。
Excelであれば、一覧表のテンプレートを簡単に作成できますし、テンプレートに沿って保管をすれば管理も簡単です。またExcelはオフラインでも使用できるため、ネットを介した外部からの浸入を防ぐことができます。
フリーのツールやアプリでパスワード管理の活用が安心
各パスワードの管理はエクセルなどで管理するのが有効ですが、難解なパスワードをその都度入力するというのは現実ではありません。こうした時に、パスワードを記録、自動入力してくれるツールやアプリが非常に便利です。
こうしたツールやアプリは、フリーソフトやフリーアプリとして無料でダウンロード可能であったりするものがほとんどです。もちろん、こうしたツールやアプリであってもパスワードを完全にそして完璧に保護してくれるかといえば、絶対とは言えません。
ただ、闇雲にパスワードを危険に晒すよりは、こうしたフリーのツールやアプリを活用するほうがセキュリティ上はマシだと言えるのです。
証券会社などのセキュリティはより厳しく管理されている
証券会社などでは、パスワードの漏洩について非常にシビアに管理をしています。これは、漏洩してしまった場合の被害リスクが非常に甚大だからです。
例えばSBI証券が取り扱っている「hyper sbi」というフリーダウンロードで無料利用できるソフトの場合、取り引き時のパスワードを保存する方式を取り入れています。しかし、「hyper sbi」では、取り引きパスワードは「*」印で管理されており、他の人が見ることはできません。
引用元:SBI証券
万が一、取り引き時にソフトなど使用し総当り(Brute-force attack)でパスワードを入力されても、「hyper sbi」はセキュリティロックで対応します。また、「hyper sbi」のパスワードを忘れた場合は、「hyper sbi」側から新たなパスワードが発行されて、旧パスワードは使用できなくなります。
このように、金融関係のセキュリティは、「hyper sbi」だけではなくどこでも厳重に扱われています。二重パスワードなどを採用しているところもあるなど、簡単にパスワードをソフトなどで解析させたり強制解除させたりなどさせないようにしています。
忘れてしまったパスワードを簡単に解除できる解除ソフト
数多くのパスワードを使用していると、忘れたという時が必ずあります。また、他人からパスワードでロックされたファイルを受け取った時に、パスワードを忘れたという時もあるでしょう。こうした「忘れた」に対応してくれるフリーソフトも数多く存在します。
Excelのパスワードを忘れた場合、「エクセル瞬時解除」や「エクセル一発解除」といった解析フリーソフトが存在します。「エクセル瞬時解除」や「エクセル一発解除」を使用することで、解除ができますが悪用は禁物です。「エクセル瞬時解除」や「エクセル一発解除」をフリーダウンロードして、自分のファイルだけに使うようにしましょう。
中には、「エクセル瞬時解除」や「エクセル一発解除」では解除ができない場合もあります。こうした場合は、総当たりで解除を試みるフリーのソフトやツールを使うと良いでしょう。「エクセル瞬時解除」や「エクセル一発解除」は使い方も簡単です。使い方がわからない場合は解説ページなどを参考にしたり、使い方を説明したWebサイトを参考にするのがおすすめです。
アカウントの使い分けをエクセルで管理してセキュリティ強化 その1
共有でパソコンを使用していると、セキュリティ関係でどうしても軟弱性が生まれてしまいます。それは、前に使っていた人が入力したアカウントやパスワード情報を、そのまま閲覧できる可能性が高いからです。こういった場合、パスワードのセキュリティを高めるために行える方法として、Windowsのユーザーアカウントの使い分けというものがあります。
例えば、ユーザーAのアカウントとユーザーBのアカウントを用意することで、「データフォルダー」や「資格情報」や「パスワード」などのユーザーユーティリティはアカウントごとに管理できるようになります。また、資格情報が必要となる共有フォルダーへのアクセス許可も制御可能です。
さらには、メールやSNS、Webサービスなどのアカウントもユーザーアカウントごとに使い分けができるのです。そのため、例えばSBI証券で用いられている「hyper SBI」などの無料でダウンロードできる金融に関わるフリーソフトも、それぞれのアカウントで管理されます。
「hyper SBI」は証券取引を行う無料のフリーソフトのため、セキュリティが大切です。「hyper SBI」がそれぞれのアカウントで管理されれば、それだけセキュリティは強固なものとなるのです。そのため、「hyper SBI」などのフリーソフトを扱うパソコンの場合は、アカウント切り替えが重要なのです。
もちろん、「hyper SBI」だけではなく、ほかのソフトやアプリのセキュリティを考えれば、アカウント別で使用するのはおすすめです。「hyper SBI」などの金銭を取り扱う以外のシェアソフトや無料アプリについても、もう一度見直すのが良いでしょう。
ソフトなどプログラムファイルのやり取りは危険
メールやSNSなどにおいてソフトなどのプログラムファイルをやり取りするのは危険です。それは、ソフトなどのプログラムファイルがどういった動作をするか不明ですし、ウイルスなどに感染している可能性があるからです。
添付ファイルの中には、パスワードを抜き取ろうとする悪意のあるソフトも存在します。ダウンロードして使い方を試してみようと思った時には、すでにパスワードを瞬時解除・一発解除されている可能性があるのです。
・総当たり攻撃(Brute-force attack):悪意がない相手からのファイルであっても、パスワードの解除を目指し、を行う解析ツールが備わっているソフト
・辞書解析攻撃(Dictionary attack):辞書内にある言葉を取得してパスワードを解析、瞬時解除を行うソフト
こういった総当たり攻撃や辞書解析攻撃により強制解除を狙うツールは、ソフトやアプリといった形だけではありません。
メールにExcelのvbaファイルが添付されていたら注意!
Excelのvbaファイルなどでも、パスワードの強制解除を目的としたツールを作り出すことが簡単にできます。
Excelであれば、業務上よく使われるツールとしてメールなどのやり取りも頻繁に行われるため、他者でも簡単に開けてしまう可能性は十分にあります。ましてやパソコンにあまり詳しくない人の場合、Excelファイルをテンプレートとして添付してきたり、vbaファイルが追加されていてもあまり気にせずに開いてしまうでしょう。
テンプレートファイルとして開かれたvbaファイルに総当たりツールや辞書解析攻撃ツールが装備されていた場合、瞬時に解析が行われ強制解除されてしまいます。Excelだけではなく、wordやaccessのテンプレートであってもvba機能は備わっているので、vbaファイルを添付されても不思議ではありません。そのためExcelのテンプレートだけを気にするのではなく、他のソフトやアプリに対してもvbaファイルやマクロファイルが添付されているか注意してください。
vbaファイルなどのマクロファイルであっても、パスワードを強制解除させたり瞬時解除させる解析ツールを仕込むことができます。そのため、信頼できる相手から入手したファイルであっても、拡張子に見覚えがない場合は容易にダウンロードしない、そして開かないようにしましょう。
またこういった攻撃から対処するためにも、辞書から簡単に想像がつくパスワードを避けるようにしましょう。人気のパスワードを使用すると、いとも簡単に解除をされてしまいます。人気パスワードはインターネットで検索することができるので、自分のパスワードが安全かどうか日ごろからチェックしておきましょう。
アカウントの使い分けをエクセルで管理してセキュリティ強化 その2
パスワードの解除などなりすましサイトに要注意
添付ファイル以外の方法であってもパスワードを強制解除する方法が「なりすましサイト」ですはあたかも従来から使用しているWebサービスのようなログイン画面にアクセスすると、偽物のサイトに誘導してパスワードを抜き取られます。
この方法であれば、抜き取る側は正解のパスワードを知っているので、総当たり(Brute-force attack)を行う必要もありません。
引用元:総務省
例えばアナライザーをWebサイトで使用している場合を考えてみましょう。そこにアナライザーへのログインパスワードを忘れたなどで問い合わせしたわけでもなく、アナライザー運営を名乗る側から一方的にメールが送られてくることがあります。
アナライザー管理画面へのURLが貼り付けられたメールから、ログイン画面に移行してログインを行うと大変危険です。もちろんそのログイン画面は偽物で、そこからpasswrodを抜き取られてしまうケースが続出しているので気をつけましょう。
また、アナライザーサービスだけではなく、こうしたWebサービスのパスワードは忘れたら良くないと考え、同じパスワードを選びがちです。しかし、忘れたらという不安だけで同じパスワードにしてしまうと、一つ解除されるだけで、他のサービスも瞬時解除・一発解除されてしまいます。忘れたらという不安よりもセキュリティを重視して、誰もが思いつく簡単なパスワードを使わないようにするのもおすすめです。
フリーソフトやアプリも注意
悪意のあるソフトを埋め込んでいるフリーソフトやフリーアプリにも注意が必要です。なかには「キーロガー」といわれる、入力されたキーを抜き出す悪意のあるツールが組み込まれているソフトやアプリも存在します。
引用元:ITmedia
例えば、便利そうだとフリーソフトやフリーアプリを無料でダウンロードしたとします。無料ダウンロードでインストールしたフリーアプリやフリーのソフトは、表面上の使い方は一般的なソフトやアプリと変わりません。
しかし実はフリーのソフトやフリーアプリの裏側では、通常の使い方ではなく入力されたキーを読み取っているという動作をしています。無料ダウンロードして便利に使っているソフトやアプリですが、実は裏側ではパソコン上で打ち込まれた文字を全て取得しているのです。
こうすれば、総当たりでパスワードを解析せずとも、瞬時解除・一発解除が可能となり、いろいろなツールやWebサイトで強制解除をされてしまうのです。人気があるフリーソフトやアプリであれば、このような悪意をもったソフトやアプリは見かけません。
・誰もおすすめしていないのに一つのサイトで異様に人気がるように見せている
上記に該当する場合、本来の使い方以外の悪意があるツールが埋め込まれている可能性は高いです。
またソフトやアプリの中には、独自のサーバーとアクセスして情報を提供しているサービスや、ソフト自体にパスワードを設定する場合もあります。こういった使い方のソフトやアプリの場合、パスワードもサーバーに保管されます。
ほとんどの場合はセキュリティ上問題がありませんが、場合によっては個人情報が漏出してしまうこともあります。パスワードを忘れた時のことを考えて同一のものを使うのではなく、忘れた時以上にセキュリティを考えるようにしましょう。
同じパスワードばかり使っていると、総当たりという手間をかけずとも複数サービスを簡単に一発解除されてしまいます。Webサービスと同じように、一発解除されてしまうと瞬時に情報などを抜き取られてしまうので、事前の対策が必要となります。
まとめ
パスワードを強制解除する場合は、ファイル所有者の許可が必要です。許可なく強制解除を行うと、犯罪に問われる場合もあります。人気があるソフトだからといって安易に使ったりしてはなりません。
強制解除などを行うフリーソフトは、使い方を間違えるとトラブルを招く原因になりかねません。こうしたフリーソフトを使用する時は、使い方についてもう一度考え、正しい使い方を心がけるようにしましょう。