【iPhone】『セキュリティに関する勧告:侵害、再利用されたパスワード』と表示された!?
『侵害、再利用されたパスワード』という警告が…。データ漏洩!?
iPhoneが突然の警告『パスワードを変更しろ』
突然の『警告』で焦った話。
どうも皆さんこんにちはSHIZUYAです!!今回は少し緊急性の高い『パスワード』に関連するお話をしていきたいと思います。
というのも最近、私のiPhoneが『セキュリティに関する勧告:侵害、再利用されたパスワード』という勧告をしてきて少し焦ったからでして、それをきっかけにいろいろなサービスで利用しているアカウントのパスワードを1から見直そうと思ったからです。
いきなり、『あなたのパスワード危ないですよ』とAppleさんが勧告してきたら流石にビビりますよね。
iOS14から『危険なパスワードを通知』してくれる機能が追加
では、どうして突然このようなパスワード変更を推奨する通知が来たのかというと、
2020年9月16日にAppleより提供された『iOS14』より『漏洩した可能性が高く、危険なパスワードをユーザーが使用している場合それを通知してくれる』機能が追加されたからで、この機能により『私が使用しているパスワードの脆弱性』が指摘されたわけですね。
この通知対象となるパスワードは『iCloud キーチェーン』というパスワード管理機能に登録されているパスワードのみとなっており、具体的な警告内容は以下の4つです。
- 簡単に推測できるパスワード(連続した文字列の使用)
- 簡単に推測できるパスワード(他のユーザ〜の多くが使用)
- 再利用されたパスワード(複数アカウントで同じパスワードを使用)
- 再利用されたパスワード侵害されたパスワード(iOS14で追加)
1.簡単に推測できるパスワード
このパスワードには連続した文字列(”12345″)が使用されているので、簡単に推測することができます。
2.簡単に推測できるパスワード
このパスワードは多くの人に使われているので、簡単に推測できてしまいます。
3.再利用されたパスワード
このパスワードは、”~”、”~”、及びその他20件のWebでも再利用されています。その内のどれかが危険にさらされた場合、このアカウントに対する危険性も上昇します。
4.侵害されたパスワード(iOS14で追加)
このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています。パスワードをすぐに変更した方がよいでしょう。
今回私が受けた勧告は『侵害、再利用されたパスワード』なので上記の『3.再利用されたパスワード』と『4.侵害されたパスワード』のハイブリッド型の勧告ですね!!
なんかやばそう…。
侵害、再利用されたパスワード
それでは、私が今回受けた勧告『侵害、再利用されたパスワード』というものが一体どいうのものなのかをお話ししていきたいと思います。
再利用されたパスワード
まず、『3.再利用されたパスワード』というのは『このパスワードは他のWebサイトでも使われていますよ』というものでパスワードの使い回しに対する警告です。
複数のサイトでパスワードを使い回していると、あなたが利用しているサービスのいずれかで『情報漏洩』が合った場合に一つのアカウントだけではなく同じパスワードを使用している他のアカウントも不正ログインの恐れがあるそうです。
従って、『パスワードは毎度毎度異なるものを使用した方が好ましい』ということになります。
侵害されたパスワード
『4.侵害されたパスワード』とは、過去に情報漏洩などによって流出したとされる『パスワードのリスト』とあなたがiCloudキーチェインに登録しているパスワードを照合して『「同一であるもしくは「類似している」パスワード』が存在してる場合に出される勧告です。
つまり、『あなたのパスワードは誰かの手に渡っている可能性があるよ!!』という警告ですね。
侵害、再利用されたパスワード
『侵害、再利用されたパスワード』とはたった今紹介した『再利用されたパスワード』と『侵害されたパスワード』の二つの特徴を同時に有しているものです。
つまり、『漏洩リストに載っている、あるいはそれに酷似しているパスワード』が同時に複数のアカウントで使用されているということです。
この勧告が出された場合には比較的速やかにパスワードの変更を行うことを推奨されます。
iPhoneでセキュリティの確認をする手順
パスワードの質が低い状態を維持するリスク
『総当たり攻撃』のリスクが高い
総当たり攻撃とは?
パスワードの質が低かったり、パスワード情報が漏洩している場合には『総当たり攻撃』というセキュリティ攻撃を受けてしまう恐れがあります。
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
『ウィキペディア』より引用
詰まるところ、『コンピューターを使ってあり得そうなパスワードを片っぱしから総当たりしていく』のが総当たり攻撃です。
今回私が受けた『侵害、再利用されたパスワード』ではパスワードが外部に漏れている可能性があるため『ユーザー名やメールアドレス』などで総当たり攻撃を受けてしまうと不正ログインなどによる被害を受けてしまうのでないかと考えられます。
警告が出たらパスワードの変更を推奨します!!
以上のことから勧告を受けたパスワードは総当たり攻撃による被害を受けるリスクが高いため、比較的速やかにパスワードの変更を行う必要があります。
特に『金銭に関わるアカウント』で勧告が出されている場合には即座にパスワードの変更を行うことをおすすめします。
しかし、パスワードは覚えるのも大変ですし、管理するのもかなり面倒。複数のアカウントで別々のパスワードを用意するとなるとかなり大変です。
そこで、私は『1Password』というパスワードを管理してくれるセキュリティサービスに登録してみることにしました。
パスワードを管理してくれる最強サービス
『1Password』というパスワード管理サービスを導入してみた
どうせパスワードを全て変更するならば!!
『あなたのパスワードは外部に漏洩している可能性があって危険ですよ!!』という勧告があって大変驚いた私は『やっぱりパスワードの使い回しは危険だし、漏洩が発覚したときに変更するのが面倒くさいな』と感じ、セキュリティサービスの導入をすることにしました。
今回私が導入することにしたのは『1Password』というサービスで『ニューヨークタイムス』や『CNN』などの全世界で有名な企業をはじめとして40,000社以上で採用されている安心安全なパスワード管理サービスです。
サービスの内容は『マスターパスワード』という一つのパスワードをユーザー側管理するだけで『複数のアカウントのパスワード』も管理することができ、その上『自動ログイン』までしてくれるというサービスです。
マスターパスワードだけだと不安?
一つのパスワードを管理するだけだと『マスターパスワードがバレたら1Passwordに登録されている他のパスワードも危険じゃないの!?』と考えてる人もいるでしょう。私も同じ疑問を抱きました。
確かに、マスターパスワードが他者に知られてしまったら大変なのですが、1Passwordではマスターパスワードの他にもう一つ『シークレットキー』というものが存在します。
1Passwordこの『シークレットキー』と『マスターパスワード』の二つのパスワードを併用してより強力なパスワードを構築します。
『シークレットキー』はユーザーが管理する必要はない
『マスターパスワードの管理だけでも面倒くさいのにシークレットキーも同時に管理しないといけないなんて面倒!』そんなふうに思った方もいらっしゃるでしょうが、そこは問題ありません。
なぜならば、シークレットキーは『ユーザー側で管理する必要がない』からです。
シークレットキーは端末に保存されるパスワードで『端末側からデータを保護する』役割を持ち、端末が記憶してくれているパスワードです。
従って、ユーザーが管理するのは『マスターパスワード』のみで『シークレットキー』は管理する必要がないのです。
アカウントごとにパスワード自動生成してくれる
そして、もう一つの目玉機能が『パスワードの自動生成機能』です。
今回の勧告の発端は私が今まで管理していたパスワードが『比較的簡単かつ使い回しをしていた』ということが原因で生じたものでした。
つまり、セキュリティサービスを導入したところで『サービスごとのパスワードが貧弱だったらなんの意味もない!!』ということです。
しかし、心配ご無用!!
『1Password』には『パスワード自動生成機能』が存在するため『記号と数字を組み合わせた最大100文字程度の強固なパスワード』を自動的に生成してくれます。
そして、生成したパスワードの全ては『1Password』側で管理してくれていますのでパスワード管理も簡単。
その上『自動入力機能』との相乗効果でストレフリーなログイン体験を提供してくれます!!
つまり、最強。
以上の内容をまとめると、ユーザーが管理する『マスターパスワード』と端末が管理する『シークレットキー』の二つで複数のパスワードを管理することによって『より強固で最強なパスワード』を構築することができます。
ハッカー側も『マスターパスワードの特定だけで難しいのに、シークレットキーとい複雑パスワードも特定しないといけない』となるとセキュリティを突破するのはほぼ不可能に近く諦めるしかないと言えるでしょう。
つまり最強のパスワード管理サービスと言えるでしょう。
1Passwordをソースネクストで購入する
ソースネクストで購入すると公式価格より安くなります。
公式サイトよりも少しお安購入できます。
1Passwordにもしも興味を持ったのなら、購入するショップは考えておいた方がいいでしょう。
例えば、ソースネクストというオンラインショップが販売している『1Password 3年分』という商品は公式サイトでの購入よりも1,760円(税込)ほど安く購入することができます。
以下から購入することができますので、興味がある人は一度覗いてみることをお勧めします。
スマートフォンからもダウンロードできます。
どうしてもっと早く導入しなかったんだろう?
以上が、『1Password』の概要ですね。私も実際に試してみましたがログインする際の『自動入力機能』が大変便利でストレスフリーで様々なコンテンツを楽しめております。
同時に『同じパスワードで大丈夫かな〜』という心配も皆無になり本当に身も心も軽くなった感じです。
どうしてもっと早く手をださなったんだろう?
さいごに
パスワードの管理を見直そう!!
さて、今回はiPhoneが『セキュリティに関する勧告:侵害、再利用されたパスワード』という通知をしてきて大変焦ったので、私が陥った状況の解説と新しく加入したパスワード管理サービスの『1Password』についての紹介をしました。
現在は、少しずつパスワードの変更作業も進んでおり、同時に『1Password』の設定もしておりますので、私の個人情報のセキュリティもかなり向上してきたのではないかと考えています!!
ぜひ皆さんも今一度自分のパスワードの管理状況を見直して、より安全な環境を構築してみてはいかがでしょうか?
今回の件に関してはまた何か進展や状況の変化がございましたらその度に記事にしますので、その際はまた参考にしていただけたら嬉しいです!!
ということで、今回の記事の内容は以上です!!最後までお付き合いいただきありがとうございました!!
TOPIC
おすすめ記事
Twitterアカウント
私、SHIZUYAはプログラミング学習を始めました。
