パスワードが漏洩する主な原因は、脆弱なパスワードの設定やパスワードの使いまわし、さらにはパスワードを紙に書いて保管するといったずさんなパスワード管理が挙げられます。

また、もしもパスワードが漏洩してアカウントが乗っ取られると、以下のようなリスクが想定されます。

企業にとって、パスワードの漏洩は金銭的な被害を引き起こすだけでなく、社会的な信頼の低下を招くリスクもあります。対策として、​​多要素認証​​や​​シングルサインオン​​といった認証強化をうまく活用することがおすすめです。​

​​この記事では、パスワードが漏洩した際のリスクや原因、対策方法までを詳しく解説します。​

​​パスワードが漏洩する原因​

​​そもそも何故、パスワードが漏洩し、攻撃者の手に渡ってしまうのでしょうか。主な流出の要因をまとめました。​

▼パスワードが流出する原因
1.推測されやすいパスワードを使用している​
​​2.パスワードを使いまわしている​
​​3.パスワードの管理がずさん​
​​4.フィッシングサイトにパスワードを入力した​
5.ソーシャルエンジニアリングの被害にあった​

1．推​測されやすいパスワードを使用している​

例えば「password」や「1234」のような単純な文字列に設定すると、パスワードを攻撃者に推測され、​不正アクセスされるリスクが高まります。​

​​警察庁が公表した「不正アクセス行為の検挙状況」によれば、2023年の​​不正アクセス事件の90％以上​​が「​​識別符号窃用型​​」によるものでした。​

※識別符号窃用型…​他人のIDやパスワードを使って、アカウントに不正アクセスする​手法

また「識別符号窃用型」による犯行のうち、約半数の42.7％が、脆弱なパスワードを設定するなど「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」の手口に該当します。

出典：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（令和6年3月14日）

この数字からも、なるべく犯人が推測しづらい、長く複雑なパスワードの設定が重要であることが分かります。

​​パスワードを使いまわしている​

​​複数アカウント・サービスにおける、​​同一パスワードの使いまわし​​も、パスワード漏洩の主な要因の１つです。

IPAが一般者向けに実施した「2022年度情報セキュリティの脅威に対する意識調査」によると、対象者のうち複数アカウントでパスワードを使いまわしている割合は、​​ パソコン利用者で41.9%、スマートフォンでは53.4%​​。

4～5割のユーザーが、複数のWebサービスでパスワードを使いまわしていることがわかりました。​

​​参考：​IPA｜2022年度　情報セキュリティの倫理と脅威に対する意識調査【脅威編】（2023年2月）

​同じパスワードを複数アカウントで使いまわすと、仮に1つのアカウントでパスワードが漏洩した場合、​​ 攻撃者が同一​パスワードを用いて、他のサービスにも不正ログインを仕掛ける可能性があります。より詳しい内容は、以下のページをご覧ください。

​​パスワードの管理がずさん​

​​パスワードを​付せんや紙に書き出してデスクに貼る、メモアプリに記録するなど、他人が容易に閲覧できる場所にパスワードを​管理することも避けましょう。

同僚など、従業員による「パスワードの不正利用を助長するきっかけ」と、なりかねません。
​​

フィッシングサイトにパスワードを入力した​

​​フィッシング詐欺では、大手企業などを装ってユーザーにメールを送り、本文内のURLから偽サイトに誘導することで、認証情報などを入力させて盗むという手口が使われます。​

偽サイトは正規の​Webサイト​に酷似していることから、騙されて認証情報を入力し、ID・パスワードなどを盗まれてしまうユーザーが少なくありません。

▼「みずほ銀行」の偽サイトの例

出典：​NHK｜“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は

より詳しい「フィッシング詐欺」の手口やパターンは、以下よりご覧ください。

​​ソーシャルエンジニアリングの被害にあった​

​​「ソーシャルエンジニアリング」とは​

など​​情報通信技術を使わず​​、重要な情報を盗み取る手法です。​

​​例えばシステムへのログイン中、背後からPC画面をこっそり覗かれて、入力中のIDとパスワードを盗み見られたとしても、その痕跡が残ることはありません。​

​​ソーシャルエンジニアリングは不正アクセスなどの実害を受けるまで、情報を盗み取られたことに気づきづらいという点で厄介な手口です。​

​​パスワードが漏洩した可能性のある「兆候」

​​もしもパスワードが漏洩し、何者かに不正利用された場合、以下のような変化・兆候が見られる場合があります。​

​​1．サービスから、​​見覚えのないログイン通知​​が届​く
​​2．覚えのない​​パスワードやメールアドレスの変更通知​​が届​く
​​3．アカウントに、​​記憶にないログイン履歴や購入などの操作履歴​​が見られ​る
​​4．SNSに​​見知らぬ投稿やフォロワーの急増​​などが見ら​れる
​​5．正しいパスワードを入力しているのに、​​アカウントにログインできない​

こういった身に覚えのない操作が見られた際は、まず速やかにパスワードを変更し、不正ログインの被害を最小限に食い止めることが重要です。

また、同一のパスワードを他サービスでも併用している場合は、二次被害を防ぐため、それらのパスワードもあわせて変更しましょう。

​​パスワードが漏洩し、アカウントが乗っ取られた場合のリスク​

​​パスワードが漏洩し、攻撃者にアカウントが乗っ取られた場合、以下のような被害を受けることが想定されます。​

​​1．不正送金や購入など「金銭的被害」が発生する​
​​2．SNSやメールから不適切な発信や連絡がされる​
​​3．本人になりすまし、詐欺・悪意ある行為に利用される​
​​4．個人情報の盗難・不正利用のリスクがある​
​​5．企業アカウントを乗っ取られ、機密情報が盗まれる​
​​6．アカウント及びシステム等の、データ改ざん・削除

​​1．不正送金や購入など「金銭的被害」が発生する​

​​インターネットバンキングやオンラインショッピングサイトのアカウントが乗っ取られた場合、金銭的な被害が発生するリスクがあります。​

​​インターネットバンキングにおいては、不正な金銭の引き出しや不正送金。オンラインショッピングサイトでは、登録済のクレジットカード情報を盗んで、不正に利用されるなどの被害が考えられます。​

​​2．SNSやメールから不適切な発信や連絡がされる​

​​SNSやメールアカウントが乗っ取られると、攻撃者が本人になりすまし、その友人・家族やフォロワーに不適切なメッセージ、リンクを送信することがあります。​

​​3．本人になりすまし、詐欺・悪意ある行為に利用される​

​​上記同様、攻撃者が被害者のアカウントを乗っ取り、その身元を利用して、詐欺や悪意ある行為をはたらく可能性があります。
​
​​例えば、友人や家族に対して​金銭を​要求​したり​、偽のサービス提供を行ったりすることが考えられます。​

​​4．個人情報の盗難・不正利用のリスクがある​

​​アカウントの乗っ取りによって、個人情報や機密情報が盗まれるリスクがあります。盗まれる情報の例として、クレジットカードなど金融機関に関わる情報、氏名や住所、電話番号などが含まれ、それらの情報は詐欺や身元盗用に悪用される可能性があります。​

​​5．企業アカウントを乗っ取られ、機密情報が盗まれる​

​​業務で利用するクラウドサービス、システムなどの企業アカウントが乗っ取られてしまうと、アカウント内に登録・保存された企業の機密情報が、攻撃者に筒抜けになってしまうリスクがあります。​

​​企業はクライアントやパートナー、顧客​からの​信頼を損ない、経営に大きなダメージを負うことも想定されます。​

​​6．アカウント及びシステム等の、データ改ざん・削除​

​​企業のシステムアカウントが乗っ取られると、攻撃者により重要なデータの改ざん・削除といった操作が行われるリスクがあります。​

​​個人または企業の重要な情報が失われ、業務やサービスの継続性に深刻な影響を与えることがあります。​

​​パスワードが漏洩しているか確認する方法​

​​もし「​ ​パスワードが漏洩しているかも​​」と感じた際、試してほしい確認方法を、iPhone、Googleそれぞれでご紹介します。​

​​iPhoneの場合​

​​iPhoneではパスワードの監視が可能なため、既知のデータ漏洩にさらされている際、ユーザーはその有無を通知を受け取ることが可能です。以下の手順で、侵害されたパスワード検出の「オン/オフ」を切り替える必要があります。​

​​1.「設定」>「パスワード」>「セキュリティに関する勧告」​の順に​選択する​
​​2.「漏洩の危険があるパスワードを検出」のオン / オフを切り替える​

​​オンに切り替えることで、アカウントのパスワードの安全性が低い、あるいはパスワードが侵害された場合、その問題をメッセージで受け取ることができます。

Chromeの場合

​​1.Googleアカウントにログインする​
​​2.ブラウザ​右上のプロフィールアイコンをクリックし、「鍵のマーク」を選択する

​​3.​左側の項目から​「チェックアップ」をクリックする​

この時点で、保存されているパスワードが漏洩していないか、自動的にチェックされ結果が表示されます。「​​不正使用されたパスワードはありません​​」と表示されれば、漏洩はありません。

逆に「漏洩した可能性のあるパスワード」が表示された場合、速やかに内容を確認し、パスワード変更の手続きをおこなう必要があります。

​​パスワードが漏洩した場合の対処法​

万が一、パスワードが漏洩してしまった場合は、​以下の対処法を実施しましょう。

速​やかにパスワードを変更する​

​​攻撃者が盗んだパスワードを利用してアカウントに再ログインするのを阻止するためにも、まずは迅速にパスワードを変更しましょう。​

​​長く複雑で予測されにくい​パスワードを​設定​するのはもちろん、可能であればID・設定しているメールアドレスなども、あわせて変更することが望ましいです。

​​同一パスワードを使っている、他アカウントのパスワードを変更​

​​漏洩したパスワードを他のアカウントでも使用している場合は、それらすべてのパスワードも速やかに変更しましょう。​

​​異なるサービスごとに独自のパスワードを使用することで、二次漏洩の被害を防ぎ、セキュリティ上のリスクを最小限に抑えることができます。​

​​クレジットカードや銀行口座の取引履歴を確認​

​​オンラインバンキングやネット通販のパスワードが漏洩した場合、アカウントが乗っ取られ、不正な送金や購入といった金銭的被害のリスクがあります。​

よって、パスワードの漏洩が懸念される場合、速やかに取引履歴をチェックし不正利用がないかを​確認しましょう​。​

​​またクレジットカードやインターネットバンキングの場合、不正利用に対する補償が存在するため、被害に気付いた際には速やかに補償申請を行います。​

​​アカウントのサポートデスクに連絡する​

パスワードの漏洩により、自身のアカウントで不審な活動が見られた場合は、アカウントのサポートデスクに連絡しましょう。

早期の通報と協力により、被害を最小限に抑えることができます。

​​パスワードの漏洩による被害を防ぐ対策​

パスワードの漏洩による被害を防ぐため​には、以下のようなセキュリティ対策が有効です。

​​推測されにくいパスワードの設定​

​​パスワードの漏洩を防ぐには、複雑で第三者から簡単に推測されないようなパスワードの設定が欠かせません。​

​​ただし、長く複雑な文字列は覚えづらいため、「複数サイトで同じパスワードを使いまわす」「付箋や手帳など、誰でも閲覧できる場所に書き出す」といった、​​誤ったパスワード管理​に繋がりかねません。

​​そこでおすすめなのが、​​パスフレーズをベースとしたパスワードの作成​​です。パスフレーズとは、複数の単語を組み合わせて作成されたセキュリティのための文字列です。​

​​作成の仕方は、以下の通りです。​

​​1．まず、ベースとなるパスフレーズを決めます。​

※英単語より日本語をローマ字にした方が、海外からの​辞書攻撃​の対策になります。

2．次に、一部の文字を数字や記号に置き換えます。​

​​3．さらに、使用するWebサービスの略字や頭文字を前後に付け足します。​

パスフレーズを1つ決めて、そこに記号やサービス名などを追加することで、強固なパスワードを作成することができます。​

パスワード管理ツールを使い、パスワードの使いまわしを避ける​

パスワード管理ツールは、あらゆるパスワードを一元管理できるツールです。

パスワード管理ツールを使用することで、ユ​ーザーは各サイトのパスワードをすべて記憶する必要がなくなります。

結果、パスワードを複数アカウントで使いまわしたり、覚えやすいよう単純な文字列（Apple、生年月日など）を設定するリスクをなくし、各サイトごとに異なる強固なパスワードを​設定​することが可能となります。​

多​要素認証の導入​

​​パスワード漏洩による「アカウントの乗っ取り」を防ぐ手段として、多要素認証の導入は非常に有効です。

多要素認証とは、 ①​​知識情報​​（パスワードなど）、②​​ 所持情報​​（スマートフォンなど）、③​​ 生体情報​​（指紋など）の中から、​​ 2つ以上の要素​​を活用して認証を行うセキュリティ手法です。​

▼​多要素認証のイメージ​

​多要素認証は、​​ IDとパスワードのみに頼らない認証方法​​なので、仮に攻撃者が盗んだパスワードを使って不正ログインを仕掛けたとしても、アカウントにログインすることは困難です。

適切なパスワード管理に加え、多要素認証を導入することで、アカウントの乗っ取りリスクを最小限にとどめることができます。

アカウント乗っ取り対策なら「LANSCOPE プロフェッショナルサービス」にお任せ

先述の通り「漏洩対策」として、パスワードを使いまわさず、長く推測されにくい文字列を設定することは非常に重要です。

しかし、それだけで不正ログインのリスクを完全に無くすことはできず、ID・パスワードのみに頼らない「多要素認証」などの導入で、根本的な問題解決を図ることがとても重要です。

以下では、セキュリティの専門家が手厚い診断を行う「LANSCOPE プロフェッショナルサービス」の、アカウント乗っ取りに有効な診断メニューをご紹介します。

1．クラウドサービスのアカウント乗っ取りを防止「クラウドセキュリティ診断」

1つ目に紹介するのが、Microsoft 365 やAWS・Salesforce といったクラウドサービスの設定不備を見直し、不正アクセス被害を無くす「クラウドセキュリティ診断」です。

クラウドサービスのアカウントが乗っ取られる原因の多くは、お客様自身の「クラウドの設定ミス」に起因します。しかしクラウドの仕様はベンダーの都合で定期的に更新されるため、正しい設定を常に適用し続けることは、簡単ではありません。

「クラウドセキュリティ診断」では、知識豊富な弊社のスペシャリストが、クラウドサービスにおける管理設定上の不備を洗い出し、正しく設定するための支援を行います。

例えば、各種クラウドサービスに「多要素認証」を適用する・セッションタイムアウト時に「強制的にログアウトさせる」など、不正アクセスの原因を根本から改善することで、アカウントの乗っ取りを防止します。

2．「認証周り」の課題に対策できる「脆弱性診断・セキュリティ診断」

2つ目に紹介するのは、お客様のサーバやネットワーク・アプリケーションに、セキュリティ面の欠陥（脆弱性）がないかをテストする「脆弱性診断・セキュリティ診断」です。

こちらは主にソフトウェアやアプリケーションを提供する、開発者・ベンダー様におすすめのサービスとなります。

当社のセキュリティ診断では、お客様が運用されるサーバやアプリケーション環境に置いて、アカウント乗っ取りにかかわる「認証周り」の課題を、以下の観点から弊社のエキスパートが診断。適切な改善策を提示します。

▼脆弱性診断：アカウント乗っ取りにかかわる「認証周り」の主な確認観点
アカウントロックがあるか（適切か）
多要素認証があるか
エラーメッセージから認証情報が推測できないか
パスワードの強度は十分か

明らかになった課題に対しては、詳細な診断レポートを発行し、現状課題と必要な対策をお伝えします。

まとめ

​​本記事では「パスワード漏洩」をテーマに、その概要や対策について解説しました。​

パスワードの漏洩を防ぐためには、長く複雑なパスワードを、使いまわしをせず設定することが重要です。また多要素認証を有効にする、パスワードマネージャーを活用して適切なパスワード管理をおこなう、といった対策を並行しておこないましょう。