パスワード使い回しは危険、ならば「今日からできること」を考えよう

0

2021年01月27日 15:42  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真Appleでサインイン
Appleでサインイン

 本連載「サイバーセキュリティ2029」はタイトルにあるように「近未来のITを守るためにいまできること」を考えていきたいと思います。特にセキュリティにおいては1年後を想像することも難しく、その意味では大仰なタイトルにしてしまったことを反省しているのですが、近未来に実現されていることを希望することは自由です。おそらく多くの方に取って、すぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。



【その他の画像】



 言葉にはしていないと思いますが、私たちを取りまくパスワードはもはや破たんしているといっていいでしょう。私もいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワードを使い回すことは自己責任だ」というのは簡単ですが、未来の世界ではこの悩みが解消されているはずだと、私は信じています。



 そこで、今回はパスワードにまつわる「今日からできること」を考えていきたいと思います。パスワードの使い回しをしないという理想を、極力手をわずらわせることなく実現する方法はあるのでしょうか?



● 「生体認証こそゴール」?



 「パスワードをなくす」という話題では、その解決方法の一つとして「生体認証」が取り上げられます。これまではハイセキュリティが必要なエリアのために、一部のPCベンダーがオプションでデバイスを用意していたような認証方法ですが、いまでは手元にあるスマートフォンに内蔵され、多くの人が既に活用しているのではないかと思います。



 生体認証は、確かに非常に強力な仕組みといえるでしょう。コンシューマー向け製品では指紋認証、顔認証ともにそれなりの精度で本人を認証可能です。グミで指紋をコピーするなど突破する方法もそれなりに存在しますが、1日に何度も画面ロックを解除するという方に取って、もはやなくてはならない機能といえます。



 しかし、この生体認証があればパスワードをなくせるかというとちょっと微妙です。というのも、生体認証が強力なのは、成り済ましができないこと。つまり「本人ですら替えが効かない」点にあります。そのため、これそのものをパスワード情報として使うことは、二度とパスワードが変更できないことと同様になってしまいます。これでは困りますよね。



 そこで、多くの場合、生体認証は「デバイス単体の認証器として活用し、セキュリティチップとの通信を認可する」という使い方をしている例が多いです。よく顔認証が怖いといわれるのは「顔の写真が収集されるので、情報漏えいしたら怖い」という誤解がありますが、ほとんどの生体認証は特徴点だけを記録し、その情報もデバイス内に閉じ込めています。この仕組みをうまく使ったものは既に実用化されており、Yahoo!やLINEはFIDO 2.0仕様に沿った「パスワードのいらないログイン」を実現しています。



・ヤフーが推進する「パスワードレス」その進捗と今後の展望 - Corporate Blog - ヤフー



・4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは(ITmedia エンタープライズ)



●いますぐできる? パスワードが1つしかいらない世界



 多くのサービスがそういった先進技術を導入してくれればよいのですが、なかなかうまく普及していないというのが実情です。明るい未来を待つ前に、いまできることはあるのでしょうか。個人的には「パスワード管理ツール」を推奨したいと思います。



 パスワード管理ツールとは、各サービスで必要とされるID/パスワードとサービスのURLを記録し、Webブラウザで該当ページを開くと自動でID/パスワードを入力してくれるというもの。実はURLとID/パスワードが対応するので、いくらそっくりなフィッシングサイトに誘導されても、URLが違えばID、パスワードが自動入力されないため、フィッシング対策にもなるというシロモノです。個人的にはWindows 10時代において、ウイルス対策ソフトよりも優先度が高い有料セキュリティソフトだと思っています。お金をかけるならこっちにしましょう。



 もはや現代において、IDとパスワードは「覚えるべきではない」情報です。覚えなければならないから、パスワードの使い回しが発生します。頑張って覚えるのではなく、もう覚えないためにパスワード管理ツールを使います。特に便利なのは、パスワード管理ツールは強いパスワードを自動生成してくれること。パスワードをツールに作らせることで、使い回しをITの力で防げます。



 市販されているパスワード管理ツールは「1Password」や「LastPass」などがあります。その名の通り、これらのツールは最後の、たった一つのパスワード――もちろん、パスワード管理ツールを利用するためのパスワード――だけを記憶しておけば、あとはツール任せにできます。その最後のパスワードもPCに内蔵された生体認証を活用できるので、もはやパスワードは、いますぐ過去の遺物にできる……かもしれません。



 もしパスワード管理ツールにお金をかけたくない場合、Webブラウザの機能としてもパスワード保存機能があるので、それを利用してもよいでしょう。この場合も、Webブラウザを他人に触らせないよう、画面ロックをする必要があるでしょう。



● もう一つの新機軸は「IDを使い回ししない」?



 もう一つのパスワード情報漏えい対策をご紹介しましょう。個人的にも気に入ってるのは最近多くのサイトで利用可能な「Appleでサインイン」です。



・「Appleでサインイン」とは - Apple サポート



 この機能は、よくあるSNSアカウントでサインインする機能と似ているのですが、大きな違いはログインのための「メールアドレスを非公開」にできることです。Appleの解説文を引用しましょう。



一意でランダムなメールアドレスが作成されるので、アカウントの設定やサインインプロセスに際して、AppやWebサイトのデベロッパーに個人用のメールアドレスが伝わることはありません。このアドレスはユーザーとデベロッパーを一意に特定し、<一意の英数字の文字列>@privaterelay.appleid.com という形式になります。



例えば、Apple IDが j.appleseed@icloud.comの場合、あるApp用の一



意でランダムなメールアドレスはdpdcnf87nu@privaterelay.appleid.comのようになります。この一意のリレーアドレスは、アカウントを作成した特定のAppやWebサイトの開発者からの通信専用に使われます。ほかのAppやサービスで再利用することはできません。



・「Appleでサインイン」の「メールを非公開」 - Apple サポート



 これを利用すると、よくあるメールアドレスをIDとするサービスに対しては、IDを使い回さないという運用になります。そのため、万が一パスワードを使い回し、メールアドレスも使い回しているサイトからID、パスワードの情報漏えいが発生した場合も、メールアドレスが異なるのでログインは成功せず、二次被害を防ぐことができるはずです。「Appleでサインイン」したサイトで同様の情報漏えいが発生したとしても、メールアドレスはそこでしか使っていないものなので、淡々とパスワードを変更すれば対処完了です。よくある「パスワードは定期変更しましょう」などという場当たり対応も不要ですね。



 この仕組みも、一意のランダムなメールアドレスはApple側で自動生成されます。もちろん、Appleがevilになるリスクをどう考えるかは利用者の考え方次第ではありますが、プライバシーに関してかなり力を入れ踏み込んで指針を出している企業でもあるので、個人的には信頼しています(信頼せざるを得ない、といったほうが妥当かもしれませんが……)。



●パスワードを便利にするにはサービス側の努力も必要



 いますぐにでも、これらの技術を使えば、それなりにパスワードがいらない世界に行くこともできます。しかし、問題はサービス側にあることも多く、例えば自動生成したパスワードが、“記号必須”や“数字必須”など、サービス側の(無意味な)縛りや、ログインページでなぜかコピー/ペーストを禁じているためにパスワード管理ツールからのパスワード入力が行えないなど、利用者側ではどうしようもない場合も多いです。



 また、パスワード管理ツールでパスワードを1つにした場合でも、第三者がそのパスワードを変更することができては意味がありません。そのため、ログインIDとして登録したメールアドレスそのものをしっかり守る必要があります。メールボックスにアクセスできてしまえば、パスワード変更の確認メールが奪われてしまいますからね。そのため、メールサービスのID/パスワードはしっかり守るだけでなく、2段階認証を必ず設定しておきましょう。



 いまだにFAXがなくせないように、パスワードが無くなる世界を実現するにはかなり時間がかかるかもしれませんが、パスワードが必須な世界ならば実現はそう遠くないと思っています。ただし、その時代であってもパスワードを守る代わりに、生体認証の鍵となるスマートフォンそのものをどう守るかといったことは考える必要があるでしょう。その未来を引き寄せるためには、いまできることを変えていかなくてはならないはず。まずは「パスワード管理ツール」からスタートすることをお勧めいたします。



(宮田健)


    ニュース設定