こどもとIT

【連載】こどもとセキュリティ

アカウントを乗っ取られないためには、どうしたらいいの?

スマホやタブレットは、子どもたちにとっても楽しくて魅力的。だからこそ、安心・安全に正しく使うためには保護者の関わりが欠かせません。どんなことに気をつけて、子どもたちを見守っていけばいいのか。保護者目線で気になる疑問に、セキュリティの専門家がお答えしていきます。
(イメージ提供:トレンドマイクロ株式会社)

狙われるアカウント情報、Webサービス利用者の8割以上はパスワードを使い回し

アカウント乗っ取りとは、ID、パスワードといったアカウント情報を第三者に知られてしまい、勝手に操作されてしまうことです。SNSやオンラインゲームのアカウントを不正利用され、なりすましや情報の盗み見に遭ったり、ゲーム内のアイテムや通貨を盗まれたりする被害が発生しています。

SNSやオンラインゲーム、Webメール、クラウドストレージ、ショッピングサイトなど、Webサービスでアカウントを作成する際は多くの場合、IDとパスワード(認証情報)の登録が求められます。

多くの人が複数のWebサービスでアカウントを所持していますが、パスワードをいくつも覚えられないという理由で、複数のサービスに同一のIDとパスワードを使い回している方もいるのではないでしょうか。トレンドマイクロの調査でも、Webサービスの利用者の85.7%は、複数のWebサービスでパスワードを使いまわしていることが明らかになりました。

トレンドマイクロの調査で「パスワードを使いまわしている」と答えた割合(出典:トレンドマイクロ パスワードの利用実態調査 2020

パスワードの使い回しはなぜいけないのか

パスワードの使いまわしは、アカウントの保護の観点で望ましくありません。なぜ、いけないのでしょうか。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手した他人のIDとパスワードのリスト(アカウントリスト)を用いて、複数のサービスへのログインを試みます。IDはサービスにもよりますが、メールアドレスを入力することも多いと思います。そのため、複数のサービスで同一のパスワードを使い回していると、複数のサービスのアカウントを芋づる式に乗っ取られてしまう可能性があります。

また、サイバー犯罪者は、辞書攻撃(ブルートフォースアタック)という攻撃を行なうこともあります。辞書攻撃は、辞書に載っている単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。そのため、パスワードの使いまわしだけでなく、一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクを高めてしまいます。

子どもをアカウント乗っ取り被害から守るために

アカウントの乗っ取りは、パスワードを推測されたり、騙されて⾃分から教えてしまったり、Webサービスの事業者から流出してしまったりなど、さまざまな原因で起こります。パスワードも個⼈情報と同じと考え、⾃分⾃⾝で⼤切に管理して守っていくことが⼤切です。

複雑なパスワードの作成や管理については、 “横断歩道は信号が赤の場合は渡ってはいけない”と同じように、子どもが社会を生きる上で知っておくべき基本知識として、学年や年齢を問わず、子どもが幼い頃からきちんと教えましょう。子どもが幼く、パスワードの管理を自分で行なうことが難しい場合は、保護者が管理することも選択肢のひとつです。

保護者は教育と技術(テクノロジー)の両⾯で⼦どもを守っていきましょう。

教育的対策:サービスごとに異なる複雑なパスワードを設定する、(友達含めて)他人には教えない
複雑なパスワード作成の必要性を子どもにきちんと伝え、基本的に子どもが自分自身で複雑なパスワードを作成するよう教えましょう。アルファベットの大文字、小文字、記号など、使用できる文字種をランダムに組み合わせ、第三者に推測されにくい複雑なパスワードを作成するのが望ましいです。子ども自身がパスワードを作成することが難しい場合は、保護者が適宜サポートし、一緒に作成しましょう。加えて、サービスごとに異なるパスワードを設定することを勧めるのも大切です。

また、いくら複雑なパスワードを設定し、使いまわしていなくても、誰かにパスワードを聞かれて答えてしまうことはリスクがあります。パスワードは自分だけが知るべき情報と考え、第三者は勿論、友達にも教えることはやめましょう。ただし、子どもが幼いうちは例外的に保護者にだけ共有することは良しとしましょう。

また、Webサービスの利用に関して、年齢制限がある場合もあります。規定年齢未満の子どもが勝手に登録、管理しないよう、保護者の管理下でWebサービスを使わせることも重要です。

技術的対策:パスワード情報を暗号化し、一括管理を行う
デジタルのサービスをアナログで管理すると利便性が低くなってしまうため、デジタルの情報はデジタルを活用して管理することがおすすめです。パスワード管理ツールを使えば、複雑に設定したWebサイトやアプリのIDとパスワード情報を一括管理できます。またパスワードの使いまわしや、脆弱なパスワードがないかをチェックしてくれるツールもあります。子どもが幼いうちは保護者がパスワード管理ツールを活用し、子どものパスワードを管理しましょう。子ども自身がツールを使える場合は、パスワード管理ツールの存在を子どもへ教えましょう。

パスワードマネージャーの設定画面(例)。ID/パスワードをクラウド上に暗号化して保存し、管理ができる。(※2020年10月16日現在の情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により、内容の全部もしくは一部に変更が生じる可能性があります)

また、IDとパスワードによる認証も、悪意ある第三者にIDとパスワードを探り当てられたり、だまし取られたりした場合、不正にログインされてしまいます。鍵を盗まれて家に入られるのと同じことです。対策として、サイトへのログイン時にIDとパスワードだけでなく、利用者本人だけが知ることのできる情報を追加で確認し不正ログインを防ぐ仕組みである「2段階認証」が利用できるのであれば、必ず利用することを心がけましょう。

中村江里(トレンドマイクロ株式会社)

トレンドマイクロ株式会社コーポレートバリューマネジメント室所属。2013年にトレンドマイクロへ新卒入社。2018年よりトレンドマイクロのCSR活動の一つである、子どもと保護者へのインターネットセキュリティ教育プログラム「Internet Safety for Kids and Families」を担当。子どもとその保護者の方々にネットやスマホ利用に潜む最新の脅威やモラルの啓発にあたる。