「パスワードは定期変更しなくてよい」は間違った理解? セキュリティ新常識|研修コースに参加してみた

今回参加したコースは 「パスワードは定期変更しなくてよい」は間違った理解? セキュリティ新常識 です。
タイトルにもなっているパスワードの定期変更ですが、昔は「定期的に変更しよう」が常識でしたよね。 それが数年前から「定期的に変更しないほうがよい」が常識になりつつあります。 が、しかし … 、それは間違った理解なのです!
このコースは、こういった誤解や古くなってしまったセキュリティリテラシー = セキュリティ常識をアップデートするものでした。
そして、登壇されるのは世界的に稀少なホワイトハッカーであり、日本ではその第一人者である 阿部 ひろき さんです。 ハッカー視点のバラエティに飛んだ具体的な攻撃手法の解説で、自分のセキュリティ常識が古さから「怖っ!」となる思いをたくさんしました。
では、どんなコースだったのか、レポートします!
もくじ
コース情報
想定している受講者 | 特になし |
---|---|
受講目標 | セキュリティに対する正しい知識を身につける |
講師紹介
このコースの講師は、冒頭でも紹介した認定ホワイトハッカーである 阿部 ひろき さんです。

合同会社ビーエルケー・スミス代表執行社員 CEO / 一般社団法人 IT キャリア推進協会 技術顧問 / 株式会社デジタルハーツ セキュリティラボ技術顧問
現在は北海道在住。 地元では剣道・居合道の指導も行う。
20 年以上にわたる情報セキュリティ業界の経験と現在も第一線の現場に立ち続けるノウハウにより技術支援と教育を行う。 ホワイトハッカー認定資格 CEH (Certified Ethical Hacker : Ethical は “倫理的な” という意味) 取得。
主な著書
ホワイトハッカー入門(インプレス刊)
Linux サーバセキュリティの対策とポイント (ソフトバンククリエイティブ刊)
入門講座 UNIX (ソフトバンククリエイティブ刊)
Linux サーバセキュリティの対策とポイント (ソフトバンククリエイティブ刊)
自己紹介の中で、阿部さんから「実は “ホワイトハッカー” という言葉は日本の造語。 海外では “エシカルハッカー” と呼びます」と補足されました。 日本の名前付けのほうが直感的で秀逸です!
このちょっとした小話からコースがスタートしました。
なぜセキュリティ常識が変わってしまったのか?

ここに挙がっている多段階認証、パスワードの定期変更など、どれも常識ですね。
ただし、この常識が現在では変わってしまいました。 なぜ、そうなったのでしょうか?
- スマートフォンやゲーム機を含め、インターネットに繋がるデバイスが増え、総じてユーザの IT リテラシーが下がってしまった
- 攻撃者にとっては、ユーザ数が増えた = カモが増えたため、実利を求めるようになった = 対象が一般ユーザにも拡大
- 攻撃者の新しい手口
- モザイクアプローチ OSINT
- SNS の文章、画像、動画(背後の音声なども含む)などを組み合わせて本人特定する
- サイドチャネル攻撃
- スマートフォンのタップリズムからパスワードを推測するなど物理的なものから推測する
- ソーシャルエンジニアリング
- 相手を騙してマルウェアに感染させる( emotet など)
- ランサムウェア
- マルウェアの一つ。 情報資産を暗号化し、復号したければ「身代金」を要求(企業だけでなく個人への要求もある)
この上で、セキュリティの三大要件、 DID (多層防御)といった、そもそもセキュリティとは、ということを丁寧に解説いただきました。
ただ、このお話は、阿部さんが登壇した別のコースレポートでも触れていますので、ここでは割愛します。
info 阿部さん登壇コースのレポート
ホワイトハッカーから学ぶ情報セキュリティ対策 ~ハッカーの心理と行動を知る~|研修コースに参加してみた
ここが変わったセキュリティ新常識
ここからは従来のセキュリティ常識から新しく変わったところにフォーカスします。
阿部さんからはクラウドサービスに関する危険性、アンチウイルス(アンチマルウェア)ソフトへの過信は禁物、多段階認証の実装は危険など、ハッとさせられることばかりを紹介いただきました。 このレポートでは、その中から 3 つだけ紹介します。
Wi-Fi の誤解
まずは、コロナで圧倒的に使用する頻度が増えた Wi-Fi の古い常識と新しい常識です。
- Wi-Fi は暗号化されているので安全?
- 端末 ― アクセスポイント( AP ) しか暗号化していない
- AP ― インターネットはカバーしていないので盗聴される可能性がある
- 端末 ― アクセスポイント( AP ) しか暗号化していない
- Wi-Fi に対する攻撃者の手口
- バックドア
- 設定の甘い AP に入ると、内部端末として信頼されるため、攻撃オプションが増える
- 最近は利用者の PC にマルウェアを仕込み、それを AP にしてしまう
- ネットワーク盗聴
- 攻撃者が AP を立て、 AP 内の通信を盗聴する
- SSID はユニークではない ので、他の SSID と同じ名前・設定にする( EVil Twin )などもできる
- SSID の設定が同じであれば、移動した先に 同じ SSID があると自動接続する
つまり、外では Wi-Fi に繋がない、ということが新しい常識です。
コロナ前は私は勉強会やカンファレンスなどに参加することが多く、そのときは無邪気に会場の公衆 Wi-Fi を使っていました。 コロナ後になった今、リアルでの開催が増えているので、参加するときは見直さないといけませんね。 SSID の偽装、怖い。
メールだけが危険? メール差出人のドメインを見れば安心できる?
続いて、メールのセキュリティ常識です。
- 攻撃者はメールをマルウェアの送付やフィッシングに使う
- アンチマルウェアソフトを入れていても、パスワード付きで暗号化されたファイルだと解析できない
- 今はメールだけではない!
- SNS のメッセージツールや SMS など URL 送信やファイル添付できるメッセージサービスはすべてが対象
- なりすましが急増
- SNS なら “なりすまし” も容易
- メールでは差出人名の偽装だけでなく、 差出人 from のドメインも偽装できる
メールヘッダの送信者 Sender を見ると違うドメインになっている
- HTML メールも危険が多い(リンク先を隠せる or 偽装することが容易)
リンクを踏んだだけでマルウェア感染するケースもあるので、とっても怖いですよね。 阿部さんからはスマートフォンだと長押し以外にリンク先を確認する手立てがなく、例えば指がすべってしまったら繋いでしまう、という補足もあり、さらに背筋が寒くなりました。
またメールや SNS などは、眠いとき、体調が悪いときなど注意力が散漫なときでも使うので、そのときはリンク URL 、添付ファイルは開かない、といった習慣づけが必要ですね。
パスワードは定期的に変更すると安全?
このレポートで紹介する最後のセキュリティ常識はパスワードに関するものです。
- パスワードを定期的に変更してはダメ?
- NIST (米国 国立標準技術研究所) が 2017 年に発表した電子的認証に関するガイドラインで、パスワードを変えれば変えるほど簡単になる = 脆弱になると発表
- ただし強制するのが NG なだけで、 変更することそのものは効果的 である
- 正しくはサービス側が「 パスワードを定期的に変更することを強制しない 」
- パスワードは 8 文字以上で 30 日で変更するとよい?
- 30 日という日数は昔のマシンで 8 文字を解読できる日数が 70 日弱であったことからその平均値で算出
- 現在のマシンでは 8 文字 (英小文字 + 記号 + 数字)でも 8 時間で解読
- 新しい常識は「 最低でも 10 文字で数字 + 英語小文字のパスワード 」
- 現在のマシンでも 7 ヶ月かかる( + 記号で 5 年)
- ただし文字数が増えていく一方なので、多要素認証を使おう
当時、定期変更に関するニュースをみて「パスワードは定期変更しなくてよくなった!」と喜んだのですが … 、めちゃくちゃ甘い認識でした。 パスワードが漏れたかどうかは普通まったくチェックしないので、漏れていてもわからないですよね。 定期変更しないとリスクが高まる一方です。
パスワードは定期変更すべき -> 定期変更しなくてもよい(間違った理解) -> 定期変更したほうがよい、と常識も変わりますし、正しく理解しないといけませんね。
セキュリティの常識をアップデートしよう
最後に、セキュリティ常識の変更点をまとめていただきました。 たった 3 時間のコースで触れただけで、これだけの古い常識が変わっています。
- セキュリティはサービス側の責任?
- 脆弱性が発見されたなら即座に対応すべき?
- Wi-Fi は安全?
- メールに注意する?
- アンチマルウェアソフトを入れれば安全?
- 多段階認証なら安全?
- パスワードは定期的に変更しなくてよい?
このレポートでは触れていない変更点もありますので、ぜひコースにご参加ください!
この新常識をまとめたところで、このコースは修了しました。
まとめ
攻撃者がカジュアルに営利目的で攻撃するようになったため、従来からさらに攻撃手法が増えています。 それにより、これまでセキュリティの常識だったものが変わっていることを紹介いただきました。
ホワイトハッカーの阿部さんだからこそ、ただの字面ではなく、具体的にどう攻撃するのか、たくさんのバリエーションを紹介いただけたので、「えっ、そんなことできてしまうの !? 」「怖っ!」と思うことがたくさんありました。 それだけ私の常識が古かったのですね。
社内の情報セキュリティに携わる方だけでなく、非 IT 部門の PC ユーザの方々のセキュリティ常識もアップデートできるコースでした!
label SEカレッジを詳しく知りたいという方はこちらから !!

IT専門の定額制研修 月額 28,000 円 ~/ 1社 で IT研修 制度を導入できます。
年間 670 講座をほぼ毎日開催中!!

SEプラスにしかないコンテンツや、研修サービスの運営情報を発信しています。