ストリーミングサービスのパスワードを、テレビ画面で直接作成したり入力したりした経験はあるだろうか。経験がある人なら、それがどれほどやりにくいか分かるはずだ。リモコンで文字を一つひとつ探して入力するのはあまりにも面倒な作業なので、つい短くて単純なパスワードを使いたくなるかもしれない。しかし、それは得策とは言えない。
サイバー犯罪者が脆弱で安全性の低いパスワードを探しているのは、なにもPCやモバイルデバイス、ウェブサイトに限ったことではない。ストリーミングサービスも標的となっており、テレビやストリーミングデバイスで作成したパスワードや、同じサービスを使用する家族や友人などと共有しているパスワードなどが狙われている。
短くて単純で脆弱なパスワードを作成してしまおうという誘惑を証明するため、パスワード管理ツールを提供するNordPassは、世界中の人々に最もよく使用されている200個のパスワードについて分析を行った。5回目となる同社の年次レポートによると、マルウェアや窃取、アカウント侵害などのリスクがあるにもかかわらず、依然として極めて脆弱なパスワードが使用されているという。
最もよく使用されているパスワードのトップ10は以下のとおりだ。
「123456」というパスワードはこの5年間で4回も1位になっており、人々がこの単純な文字列をいまだに使用していることを示している。ほかのほとんどのパスワードも、これと同じ方向性のバリエーション違いとなっている。こうしたパスワードはどれを使用しても、ハッカーに破られるのに1秒もかからないという。
実は、ストリーミングサービスで最もよく使用されているパスワードの場合、この調査結果は、さらにひどいものだった。ストリーミングプラットフォームで最もよく使用されているパスワードのトップ10は以下のとおりだ。
NordPassの最高技術責任者(CTO)、Tomas Smalakys氏は米ZDNETに対して、「ストリーミングサービスで使われるパスワードは、平均して弱いことが分かった。ユーザーがストリーミングサービスのパスワードを共有する傾向があることや、パスワードをテレビで入力しなければならないことが理由だろう」と語った。
ストリーミングサービスで弱いパスワードを使用することは、個人情報を盗むマルウェアの被害に遭うリスクを高めるため、問題がある、とSmalakys氏は述べている。マルウェアは、ユーザー名やパスワード、メールアドレスなど、ブラウザーに保存された大量のデータを取得できる。しかし、ブラウザーに保存されている認証情報やクッキー、ブラウザーの自動入力データ、クレジットカード情報など、ほかの情報も同様にリスクにさらされている。
このパスワードのランキングを作成するために、NordPassは独立系のサイバーセキュリティ研究者と連携し、さまざまな公開ソースから取得した4.3TBのデータベース(ダークウェブのものも含まれる)を共同で分析した。また、「Redline」「Vidar」「Taurus」「Raccoon」「Azorult」「Cryptbot」など、各種のマルウェアによって盗まれたパスワードで構成される6.6TBのデータベースも評価している。マルウェアのログには、パスワードだけでなく、情報源となったウェブサイトも含まれているため、ハッカーはどのユーザーとサイトを標的にすべきかを把握できた。
それでは、より安全なパスワードを作成して、ストリーミングやそのほかのサービスのアカウントを侵害から保護するには、どうすればいいだろうか。Smalakys氏がいくつかのアドバイスをくれた。
「ストリーミングサービスで使用できる場合は、2FA(2要素認証)を設定することをお勧めする。それと、別の認証方法も試してみてほしい。ほとんどのストリーミングサービスでは、自分のスマートフォンでQRコードをスキャンしてログインできる機能がある。そうした機能がない場合でも、長くてランダムなパスワードを設定するのがいいだろう。入力に数分かかるかもしれないが、安全を確保するために時間を費やす価値は間違いなくある」(Smalakys氏)
パスキーは、パスワードよりも安全かつ簡単な代替手段として徐々に広まりつつある。現在では、AmazonやApple、Google、Microsoft、Yahooなどの企業がパスキーをサポートしている。だが、このパスワードレスな認証技術に対応したウェブサイトがもっと増えるまでは、パスワード管理ツールを使用するのが最善の策だろう。ただし、利用するパスワード管理方法によって大きな違いが生じる。
Smalakys氏は、パスワードをブラウザーに保存するのではなく、専用のパスワード管理ツールを使用することを推奨している。どちらの方法でも、ユーザーの認証情報を保護するためにクライアント側に保存される秘密鍵とサーバーに保存される公開鍵を作成することで、パスワードを保存し、エンドツーエンドで暗号化することが可能だ。しかし、両者の違いは、パスワード保管庫の保護方法にある。
「本当に重要なのは、パスワード管理ツールの場合、マスターパスワードの作成時に秘密鍵も暗号化されることだ(ブラウザーのパスワード管理ツールには、マスターパスワードがないことがほとんどだ)」とSmalakys氏。「したがって、ハッカーが、標的のデバイスにマルウェアをインストールした場合、秘密鍵を取得して、ブラウザーのパスワード管理ツールに保存された保管庫の内容にアクセスできてしまう。パスワード管理ツールなら、ユーザーの保管庫の秘密鍵をハッカーに取得されたとしても、暗号化されているため、使いものにならないというわけだ」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス