子どものスマホのパスワード管理は万全？保護者がやるべきセキュリティ対策

　独立行政法人情報処理推進機構（以下、IPA）が発表した2022年版「情報セキュリティ10大脅威」のひとつに「インターネット上のサービスへの不正アクセス」が取り上げられています。子どものインターネット利用が97.7%に達している現在（総務省, 2022）、適切なパスワード管理は不正アクセス被害の防止に必要不可欠です。本記事では、不正アクセスの現況と、効果的なパスワード管理について説明します。

現況

　警察庁（2022）『令和3年におけるサイバー空間をめぐる脅威の情勢等について』によると、2021年に検挙された不正アクセス禁止法違反の件数は429件でした。検挙件数は2019年の816件をピークに減少傾向にあり、2020年の609件と比較しても180件の減少が見られます。しかし、この3年間の検挙人員は毎年230人前後とほとんど変化がありません。

不正アクセスに係る手口

　2021年に検挙された不正アクセス禁止法違反の事犯のうち、92.8%にあたる398件が識別符号窃用型（＝パスワードの不正利用）の事犯でした。さらに、識別符号窃用型の不正アクセス行為におけるパスワード入手方法として最も多かったのは、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」の153件で、全体の38.4％を占めていました。次点は「フィッシングサイトにより入手」の70件で、これは全体の17.6％です。

不正アクセスによる被害

　前述の警察庁調査によると、識別符号窃用型事犯398件のうち、不正にアクセスされたサービスで最も多かったのは、「オンラインゲーム・コミュニティサイト」144件（36.2%）でした。オンラインゲームのアカウントに不正アクセスされると、攻撃者にゲームをプレイできない状態にされたり、ゲーム内のアイテムを奪われたりする可能性があります。LINEなどのSNSへの不正アクセスであれば、プライベートな写真やメッセージのやり取りを覗き見されたり、なりすまし投稿に利用されたりする可能性があります。次いで「インターネットバンキング」への不正アクセスが多く、96件（24.1%）でした。

　不正アクセスによる被害は個人情報や金銭を奪われるだけではありません。内閣サイバーセキュリティセンター（以下、NISC）発行の『インターネットの安心・安全ハンドブック ver 4.20』（2022）では、不正アクセスを受けて乗っ取られたデジタル機器が、他人へのサイバー攻撃の際の踏み台にされるケースを紹介しています。

不正アクセス対策

　不正アクセスの多くがパスワード管理の甘さに起因するのであれば、より安全性の高いパスワードを設定し、適切に管理することが対策として有効です。次に示すのは、対策方法の一例です。

安易なパスワードを使わない

　IDと同じパスワードや、氏名、電話番号、生年月日などを用いた他人から推測されやすいパスワードを設定しないようにしましょう。それだけでなく、パスワードは十分に長くて複雑である必要があります。前述のNISC発行のハンドブックで推奨されているのは、英大文字小文字＋数字＋記号26種の合計88種類の文字を使った10桁のパスワードです。

パスワードを使い回さない

　せっかく長くて複雑なパスワードを設定しても、複数のサービスで同一のIDとパスワードを使い回すと、一度の漏洩で他のサービスにも不正アクセスされてしまう危険が増します。サービスごとに異なるパスワードを設定・使用するようにしましょう。

パスワードの定期変更はいらない

　かつて推奨されていたパスワードの定期的な変更ですが、2017年に米国国立標準技術研究所（NIST）は、サービス提供側から利用者へパスワードの定期的な変更を要求すべきでない旨のガイドラインを示しました（総務省, 2022）。NISCのハンドブックによると、パスワードの定期変更は、パスワードのパターン化や単純化を招く要因となりかねないため、定期変更よりもサービスごとに一意で複雑なパスワードを設定する方が望ましいとしています。

パスワードを人に教えない

　2021年に検挙された不正アクセス禁止法違反の手口の中に、少数ではあるもののアカウント所有者からパスワードを聞き出したケースも見られます。親しい間柄で信頼のおける友人・知人であっても、その人物がパスワードを適切に管理していなければ、そこから漏洩が発生しないとも限りません。他人にパスワードを教えるのはやめましょう。

フィッシングサイトに気をつける

　メールやSMSなどのメッセージ内のURLからフィッシングサイト（詐欺サイト）を開き、表示されたフォームに個人情報を入力・送信してしまい、パスワードを含むプライベートな情報を奪われるケースが後を絶ちません。インターネット上で個人情報を入力する必要がある場合は、URLやSSL証明書の有無などでWebサイトが本物であるかを必ず確認しましょう。メッセージ内に記載されているURLは極力クリックしないのもひとつの手です。よく使用するWebサイトはブックマークに保存し、サービスにログインするときには、かならずブックマークからログインページを開くようにすると安心です。

多要素認証を活用する

　NISCは、インターネット上のサービスにログインする際には二要素認証以上の多要素認証を積極的に利用するよう案内しています。多要素認証とは、IDとパスワードの認証に、さらにチェック機能を追加する認証方法です。利用者が「知っていること」「持っているもの」、または、利用者の「本人自身の体の一部」を構成要素として、ログイン時にパスワードとこれらの要素を組み合わせた情報を要求します。たとえば、ログインの際にパスワード（知っているもの）だけでなく、重ねてスマホのアプリ（持っているもの）からのワンタイムパスワードの生成やQRコードの読み取りを要求する、などの方法が考えられます。多要素認証であれば、仮にパスワードが漏洩したとしても、パスワードだけではサービスにログインできないため、攻撃者による不正アクセスはより困難になります。

最後に

　子どもも様々なインターネット上のサービスを利用している昨今、それらにログインするためのパスワードの数は増え、管理は煩雑になる一方です。一見面倒なパスワード管理ですが、「自分が攻撃者に狙われているかもしれない」や「今まさに攻撃されているかもしれない」といった危機意識を常にもち、パスワードを設定・運用していくことが大切です。

参考文献

“情報セキュリティ10大脅威 2022”. 独立行政法人情報処理推進機構. 2022. https://www.ipa.go.jp/files/000096899.pdf, (accessed 2022-09-29)

“令和3年度 ⻘少年のインターネット利⽤環境実態調査 調査結果（概要）”. 内閣府. 2022. https://www8.cao.go.jp/youth/kankyou/internet_torikumi/tyousa/r03/net-jittai/pdf/kekka_gaiyo.pdf,  (accessed 2022-09-29)

“令和３年におけるサイバー空間をめぐる脅威の情勢等について”. 警察庁. 2022. https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf, (accessed 2022-09-29)

“インターネットの安心・安全ハンドブック ver 4.20”. 内閣サイバーセキュリティセンター. 2022. https://security-portal.nisc.go.jp/guidance/handbook.html , (accessed 2022-09-29)

“安全なパスワード管理”. 総務省. https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html, (accessed 2022-09-29)