前回ではパスワードについて書きましたが、逆にパスワードが破られる時はどういう時に起こるのでしょうか。
パスワードの破り方を知って対策することでより安全性を高められますので、出来れば覚えていきましょう。

パソコンを使ったパスワードの破り方は主に４種類です。

①ブルート・フォースアタック（総当たり攻撃）
ブラック・マーケットから入手したIDリストを元に、考えられるパスワードをすべて試す、総当たりの攻撃です。
パソコン等の機械が自動で行うため、性能次第ですが英小文字だけ、数字だけといったパスワードですと10桁あっても1時間かからず破られてしまいます。
英大小文字と数字と記号を使って10桁にすると5年以上、11桁にすると400年以上とほぼ破られなくなります。
対策として数回間違えると一時的にアカウントをロックしたり、再度入力出来るようになるまでしばらく時間がかかる遅延設定にされています。
ただし、アカウントロックや遅延設定はログインに対する対策なので、ExcelやWordなどのデータは15桁以上のより長く複雑なパスワードでないと危険だと言われています。

ブラック・マーケット（闇市のことで、不正に入手したクレジットカード情報や個人情報などを売買し、犯罪の支援活動を商売にしているインターネット上の市場）

②パスワードリスト攻撃
ブラック・マーケットからIDとパスワードのリストを犯罪者が購入し、様々なサービスに対しパソコン等の機械でログインを試します。
購入されたIDとパスワードが正しければ、不正ログインされてしまいます。
少し前まではパスワードの定期的な変更が対策としてありましたが、末尾を1文字変えるだけや覚えやすい簡単なパスワードになりがちなため禁止されているところが増えてきています。
現在の対策としてはパスワードの使い回しをしない、ログインの履歴情報から自分が使っていないタイミングのログインがされていないかを確認します。

③パスワード推測攻撃
知人や企業相手に攻撃される場合に用いられる攻撃方法です。
アカウント所有者の誕生日や出身地など、知られたり公開している情報からIDやパスワードを推測して攻撃します。
またパスワードを忘れた時の、秘密の質問も推測されやすいものですと危険です。
対策としてはパスワードや秘密の質問を、そのまま使わないようにしてさらに関係ない文字列を加えます。

ちなみによく使われるパスワードとして2018年のワーストランキングがあります。
1位：123456　2位：password　3位：000000
4位：1qaz2wsx　5位：12345678　6位：123456789
7位：111111　8位：sakura　9位：dropbox　10位：12345
他にnekonekoやdoraemon、iloveyouなども日本では良く使われているパスワードです。
もし上記に載っているパスワードを利用されている方は、今すぐパスワードを変更してください。

④関係者を装ったメールやショートメッセージを送り、偽サイト誘導やウィルス感染させてパスワードなどの情報を盗む
メールから相手に直接打ち込んでもらったり、ウィルス感染させてパスワードや情報を盗まれるケースがあります。
メールに添付されているURLが偽サイトでIDとパスワードを盗んだり、ファイルを開くとウィルス感染して情報が盗まれてしまいます。
情報漏洩でニュースになるのはこのケースが多く見受けられます。
怪しいメールが来た場合は、電話で確認したり件名で検索したり調べる事でかなり防げます。

他にパソコンを使わないパスワードの破り(盗み)方もあります。

①パソコンやUSBを紛失、盗まれて情報が盗まれる
個人情報などの入ったパソコンやUSB、CDなどと言った記憶できる媒体を置き忘れたり盗まれたりして情報漏洩するケースがあります。
飲み会で泥酔して無くしてしまった、電車の網棚に置いたまま忘れた、トイレで少し席を外した際に盗まれた、ひったくりにあって持っていかれてしまった。
パソコンやファイルにパスワードをかけていても、解析ソフトなどで時間をかければ解除出来てしまいます。
社内ルールでパソコンなど盗まれたら困る情報を持っている時はお酒を飲まない、少しの間でも離れない、たすき掛けで盗まれにくくするなど決めて対策が必要です。

②パソコンに貼ってある付箋からパスワードを盗む
社内ルールを決めていない企業にありがちで、パソコンに疎い人がIDとパスワードを貼っているケースがあります。
「社内だから・社員しか入らないから」と考えがちですが、悪人が清掃員や宅配業者などの関係者に扮して盗むケースがあります。
近年では、スマホやカメラの性能が向上していて社内写真やビデオに写っただけで盗まれることもあり得ます。
付箋は便利ですが、IDやパスワードの記載は止めましょう。

③関係者を装って電話をかけ、パスワードを聞き出す
会社の上司などを名乗って電話をかけ、パスワードを聞き出すケースがあります。
通常でしたら騙されませんが、緊急時や災害時など驚いた直後など正常な判断がしにくい状態ですと相手に言われるがまま伝えてしまいます。
伝える前に誰かに確認することで、落ち着いて対処が出来るようになります。

他にもパスワードを破ったり盗んだりする方法は新たに生まれたりしてきています。
パスワードを破られにくく、盗まれにくくするとともに、パスワードが流出したと思ったらすぐに変えましょう。
安全にパソコンやインターネットを使うため、少しでも手口を知って対策していってください。