パスワードはどう決めたらいい？
〜 安全なWebサイト・メール運用のために〜

5/15（水）北海道新聞朝刊に掲載された、迷惑メール送信（不正アクセス被害の疑い）の記事をご存知でしょうか。

▲ 北海道新聞 2019年5月15日朝刊より

安全なWebサイト・メールの​運用のために気をつけることは、実は簡単なことばかりです。
　　

​​

安易なパスワードを使わない

1）メールの安全な運用のために、安易なパスワードを使わない

info@xxxxx.com というメールアドレスに対し、パスワードを「info」に設定するなど、
メールアドレスやドメインの文字列と同じパスワードは見破られやすく大変危険です。

また、「12345」など、規則性があり推測されやすいものもNGです。​

▼ 危険性の高い設定パターン

• ユーザー名と同じである
• 規則性があり推測されやすい数字や英字（例：12345、777、abcde）
• 氏名もしくは名字、名前と同じである（例：takamura、tomoya、takamuratomoya）
• ユーザー名＋数字のパターン（例：takamura01）
• 名詞や地名など有名な文字列（例：sapporo、iphone）
• キーボードの配列そのままの文字列（例：qwert、qazwsx）

​​
最低でも8桁以上の複雑でランダムなパスワードを設定しましょう。
下記のような無料ツールで生成できます。

▼ルフトツールズ（LUFTTOOLS） 様 【パスワード生成ツール】
http://www.luft.co.jp/cgi/randam.php

​

2）パスワードは定期的に変更すれば安全？

いままでは定期的な変更が推奨されていましたが、近年では逆の見方もあるようです。
パスワードを変更する回数が増えることにより、安易なパターンの文字列を使い回すことになりがちだったり、どうせ変えるのだから…と気を抜いてしまうなど。

まずは複雑でランダムなパスワードをしっかり設定することが重要です。

※社員の退職があった時など、社員間で共有しているパスワードを変更する必要を検討する価値はあるかもしれません。​

3）パスワードを人に知らせる場合の注意点

電子メールの文章として、ユーザーIDとパスワードをセットで書いてしまうなどは危険です。
添付ファイルにし、ファイルに鍵をかけてやりとりするのがおすすめです。
パスワードとファイル（つまり鍵と鍵穴）は別々のメールで送りましょう。

尚、せっかく別で送ってもメールの末尾にひとつ前のメールが引用文としてついており、
鍵と鍵穴がワンセット揃ってしまう…というパターンも注意です。

​

メールの不正アクセスのよくあるパターンと対策

１）メールアカウント漏洩

メールアカウントが漏洩して、悪意のある第三者がアカウントをのっとり大量の迷惑メールを送るパターンです。この場合、【パスワードを正しく管理する】ことが基本となります。

メールサーバーにはセキュリティ機能もありますので、不明な場合は管理会社に確認してみてください。

例）不正アクセスを検知し、自動的にロックをかける（送受信できなくする）など

​

2）メールフォームへのいたずら

お問い合わせフォームなどへ、大量のいたずら問い合わせをされるものです。
一般公開をしているメールフォームなので防ぎづらいですが、【アクセス制限】をかける方法もあります。

※国外からのアクセスを遮断する、など
※悪意ある第三者が国内の場合は無効となります

​​

メールの不正アクセス被害に遭ってしまったら

「おたくから変なメールが送られてきたよ」と人からいわれる、
メールが送信も受信もできない…などの現象で気づきます。

すぐにメール管理会社に知らせましょう。

​

​​

ホームページ更新システムの安全な運用のために

お知らせの更新システム（WordPress、Movable Type など）、
ショッピングシステム（EC-CUBE など）では
供給元からのリリースに合わせ、適切にバージョンアップしていくことが大切です。
古いバージョンではセキュリティ面に脆弱性が発生している場合もあります。

※バージョンアップは制作会社に相談してください

​また、システムにはID・パスワードがつきものです。
こちらも、複雑でランダムなパスワードを使用すること、
安全に管理することを徹底しましょう。

​​

ホームページの改ざん被害に遭ってしまったら

​ある日突然、Yahoo！やGoogleの検索結果で自分のホームページに
「このサイトは危険です」という注意書きが表示されるようになる、
ホームページ内に、見覚えのない書き込みや、ログインページが出現する、
などして気づきます。

​気づいたらすぐに、制作会社に連絡をしましょう。

​

普段から危機意識をもってパスワードを取り扱うこと、
そして、Web制作会社に気軽に相談できることも実は結構重要です。

IDEACDではWebサイト制作・運用、メール・サーバー管理などを承っております。
お困りごと、ご相談などお気軽にお問い合わせください。

IDEACDへ問い合わせをしてみる