真剣に考える、AI暗躍時代に備えたIDとパスワードの管理について
パスワードを使い回さないだけでは対処できない時代が来ます
昨今のChat GPTや生成AIなどに代表される、AI技術を駆使した新しい概念やサービスが急成長している中、世の中ではAI技術を悪いことにも活用できないか? という研究もさかんに行われているはずです。
今までは大丈夫だったあの手法や方法では、太刀打ちできなくなる時代がすぐそこまで来ています。
今回の記事では、『あなたのID・パスワード管理は大丈夫ですか?』という点に着目してAI技術の暗躍によって、どのようなことに注意しなければいけなくなるのか考えていきましょう。
ここに記載した情報には誤りがない様努めておりますが、万が一情報に誤りがあった場合にはご容赦ください。ここの情報を利用する際はお客様の責任において利用してください。利用されたことによって生じるいかなる不利益も、当方では責任を負いかねます。
目次
今までの攻撃やハッキング手法
これまでにみなさんも見聞きしたことのある、個人情報の流出によりアカウント情報が漏洩する事象です。
管理会社への不正アクセス(ハッキング)
サービスなどを提供する会社のサーバが攻撃を受け、アカウントなどの個人情報が外部に流出してしまう事例です。これにより流出アカウント・リストが生成され、リスト攻撃 が行われます。
※リスト攻撃とは、不正な情報を使って、他のサイトやサービスにサインインできないか試みる攻撃のことです。有名なサービスでは必ずと言っていいほど行われる攻撃です。
基本の対応
✅ パスワードの使い回しはしないこと。
✅ 二段階認証(多要素認証)を導入する。
✅ 決済情報(クレジットカード情報)を登録せずに運用する。(可能ならば)
最初のふたつ(使い回しと二段階認証)は、今の時代では標準的に実施すべき内容ですので、該当する方はすみやかに対処してください。
パソコン本体や表示画面のハッキング
使用しているパソコンのそばを不特定多数の人が行き来する環境で、個人情報の入力や表示をされている場合に(悪意を持った人間に)情報を盗まれ悪用される事例が『表示画面のハッキング』です。
最近では、スマホのカメラ(録画機能)を悪用して、物陰にスマホを隠しておいて、対象者が入力する様子を撮影するといった『ストーカー的なハッキング』も散見されるようです。
また、何らかの手段でいつも利用しているパソコンにウィルスなどを感染させられ、中に保存しているデータなどから、個人情報(IDやパスワードの情報)が盗まれる事例もあります。
基本の対応
✅ 不特定多数の人が触れるパソコンは、起動時のパスワード、サインインパスワードなどの管理を厳格に行うこと。(付箋とかに書いて貼ったりしてませんよね?)
✅ 人がうろうろしている時間帯に、パスワードなどのデリケートな情報をタイプしない。
✅ ブラウザーで記憶し、自動的に入力される機能を【OFF】にしてパソコンの不正利用に備える。
会社などで考慮すべき事柄ですが、あなたが普段使っているパソコンがどの程度リスクを持った状況にあるのか把握すべきです。背中に目がついている訳ではないので、人が近くにいるタイミングであえてデリケートな情報をタイプすることを避けるべきです。
こんな時代の防御策
✅ パスワードなどを入力する時は、キーボードに置いた手の甲にハンカチやタオルなどをかけて、どの文字を打ったか周りから視認できないようにするのが効果的です。(目視ハッキング・撮影ハッキングどちらにも対応可能です。)
→ 総務/経理などの部門の方には、こういう話題になった時には、何年も前からこの方法をお勧めしています。費用もかからず確実な効果が得られます。(セキュリティーに配慮していると周囲にアピールする効果もあります。)
✅ 自己防衛のために、自席のあたりを監視することも有効です。ネットワークカメラ、昔で言う防犯カメラのようなものが安価に購入できます。USB接続で、アプリと連動して操作できます。録画もできます。ご自身のパソコン周辺の情報・証拠集めなどが必要な場合は、この手の製品導入も検討してみてください。当方で触っていて比較的安価で簡単な設定だったのは『ATOM cam/cam2 swing』シリーズがお勧めです。※カメラを設置する行為自体を怪しまれないよう、事前に関係者の合意を取っておくことは重要です。
AI時代に予想される攻撃やハッキング手法
AIが普及することで発明されるであろう、新しいハッキング手法について想像できる範囲でご紹介し、警鐘を鳴らせればと思います。
流出したリスト同士をつき合わせて分析し、新しい情報を見つられてしまう
今までは流出したリストをそのまま機械的に再利用する(辞書攻撃やリスト攻撃)のが主でした。昨今の流出事故により複数のリストが存在すると、それらをつき合わせてなにか別の情報が得られないか考えるのが悪い人の思考です。
✔ 同じパスワードを設定しているアカウント同士に関係性があるのではないか?
同じ利用者の情報同士を結びつけられてしまう可能性
ID(多くの場合はメールアドレス)が異なっていても、パスワードが一緒の場合『ひょっとすると同一人物のアカウントではないか?』と推察されます。AI技術などの活用でこれらが短時間に沢山分析できるようになると、ID(メールアドレス)を変えているので、パスワードが一緒でも大丈夫でしょ?という理屈が通らなくなります。
個人が行うパスワードの命名規則が発見される危険性
複数の流出リストに自分のアカウント情報が含まれていた場合、それぞれの流出サイトではIDとパスワードは別々の組み合わせで利用していても、全てを並べて見渡すと『その人独特の命名規則が見つかってしまう』場合があります。これらは、作業の自動化とAIの進化によって、分析能力は飛躍的に高まっているはずです。
【命名規則がバレそうな事例 1】
流出サイトA ID:xxxx@yahoo.co.jp パスワード:yyyy1231yahoo
流出サイトB ID:xxxx@yahoo.co.jp パスワード:yyyy1231rakuten
→ 固定フレーズに、サイトの名称を付加したルールの場合。
【命名規則がバレそうな事例 2】
流出サイトA ID:xxxx@yahoo.co.jp パスワード:yyyy1231-0001
流出サイトB ID:xxxx@yahoo.co.jp パスワード:yyyy1231-0002
→ 固定フレーズに、通し番号を付加したルールの場合。
このように複数のサイトから流出したリストから抽出してみると、パスワードの命名に規則性があるなということが判ってしまいます。今までのリスト攻撃にように、リストに書かれた同じ組み合わせで攻撃される分には他のサイトでの被害はありませんでしたが、AIによる分析が入り、命名規則が判明し【パスワードの部分を変更して】攻撃された場合、 ひょっとすると攻撃が成功してしまう可能性が出てきます。
二段階認証などの仕組みも導入していれば、これですぐに実害を受けることはないと思いますが、不正なサインイン攻撃のレベルは、このくらい上がってくることは考慮しておかないといけません。
AI時代で行うべき対策方法
悪いことに使用されるAI技術が進化すると、『IDとパスワードの使い回しはしていないよ』くらいの配慮では安心できないことが判ります。 どこまでやれば安全かは判りませんが、何もせず、今のままでは実害を受けることは避けられないでしょう。
パスワードを自分自身で作成することを避けるべき?
人間が作るパスワードは、どうしても規則性が含まれてしまいます。パスワードを覚えるのが苦手!という方は特に簡単な規則性に走ることが想像できます。先に記したようにAI技術の悪用で大きく変わるのは、パスワード命名規則の分析だと思います。
当方では、以下のようなパスワード生成方法をご紹介します。
✅ パスワード生成サービス・アプリを活用する。
あなたに代わってパスワード文字列を生成してくれるものです。規則性がわからなくなるように生成するのでAIでの分析も難しいと言われています。
✅ ご自身のルールとパスワード生成アプリの合わせ技
両方の命名規則を合わせて、合体させたパスワードを用いる方法です。アプリ単体利用に比べて強度が上がります。
✅ シート状のパスワード生成シートを携帯し、そのシートに従ってパスワードを生成する。
ベンチャー企業がスタートアップ事業として展開している商品ですが、機械生成したパスワードをシート状にしたものを販売しています。どの位置からどの方向に利用するかを覚えておくだけで、強固なパスワードが利用できます。パスワードシートには管理番号があるので、万が一の紛失時には再発行もしてくれるそうです。
パスワードは破られる前提で、二段階認証などでガチガチに守る
考え方にもよりますが、人によっては『パスワードをたくさん管理する方が難しい』と仰る方がいます。こういうタイプの方には、安易に複雑なパスワードを生成・設定することを推奨できない場合もあります。無理して複雑なパスワードを設定してご自身が判らなくなってしまうのも本末転倒です。
AIの進化によって破られてしまう可能性があるパスワードであっても、二段階認証や多要素認証でしっかりガードできるのなら、両方で守る、パスワードは突破されるかもしれない、という前提で防御することも作戦としてはアリなのかもしれません。
パスワードが判らなくなって、頻繁にパスワードの再設定・再発行の手続きを行うくらいなら、こういう方針も間違っていないと思います。パスワードの管理が特に苦手で・・・という方は参考にしてください。
IDに用いているメールアドレスの管理は慎重に
最近、ほとんどのサイトやサービスにおいて、IDを別に用意するスタイルではなく、メールアドレスをIDとするアカウント管理が主流になっています。
パスワードなどをしっかり防御していても、肝心なメールアドレスの機能がハッキングされてしまうと、今までのやりとりや通知メールが悪人に知られることとなります。
ハッキング発生時に緊急対応する際は、登録されているメールアドレスで送受信できることが重要となりますので、メールアドレスの管理(ハッキング防止)に最大限の注意を払ってください。
無料のメールアドレス、たまにしか使わずに自動的にアカウントが停止している場合など、どんどんと大変な方向に向かいますので、そういった一定期間利用しないと自動的に無効にされてしまうようなメールサービスを利用されている方は特に維持管理に注意してください。