皆さん、ゲーム楽しんでますか?
「オンラインゲームライフ快適生活完全ガイド」第3回は、パスワードの話です。
これまでもパスワードを作ってきたかもしれませんが、特に何も考えずに、適当に作って管理してる人、いるんじゃないでしょうか?
もしパスワードがバレると、アカウント内の情報が丸裸になってしまいますし、勝手に課金されたりするかもしれないので、絶対避けたいですよね。

前回の記事「アカウントを作ってみよう!」では、とりあえずの作り方を紹介しましたが、今回の記事を読んで、ちゃんとした「強い」パスワードに変更しておきましょう。
実は、この記事は認証セキュリティが専門の会社がやってるサイトの連載ですから、しっかりと説明していきますよ!

>オンラインゲームセキュリティガイド「正体バレても大丈夫?ネットの向こうにご用心」記事一覧

「強い」パスワードってどんなの?

「強い」パスワードとは、「他の人にバレにくい」パスワードということ。
では、どんなパスワードがダメなのか、バレにくくするためには、どんなパスワードが良いのか、そのルールを紹介します。

自分の公開情報をパスワードにしない!

自分の名前や生年月日、ペットの名前など、自分に関する情報で、公開しているものをパスワードにしてはいけません!
あなたのことを知っているヒマな人が、あなたのアカウントに名前や生年月日のパスワードでログインを試すかもしれませんよ。

誰もが思いつく言葉や方法で作ったパスワードもNG!

123456」のように連続した数字、あるいは「password」のような言葉、「disney」とか「soccer」とか多くの人の好みになっていそうな言葉もパスワードにしてはいけません!
理由は、誰もが簡単に思いつく言葉だから。
不正にアカウントに侵入しようとするハッカーたちには、こうした単純なパスワードに使われやすい言葉のリストが出回っています。このリストには、例えば「password」のいくつかの文字を置き換えた「p@55w0rd」といった言葉も掲載されているので、多少加工しても危ないのです。
そして、このリストにある言葉で自動的にログインを試すツールも出回っているのです。
この侵入方法のことをセキュリティ業界では「辞書攻撃」と呼んでいます。

文字種・文字数が少ない=弱い

パスワードを登録するとき、使える文字の種類が指定されてますよね。英文字大文字・小文字、数字、記号とか。あと長さも指定されています。
使える文字種が多いのであれば、できるだけ使ったほうが良いです。また長さもできるだけ長いほうが良いです。
理由は、文字種が多くて長いほうがパスワードのパターンが多くなり、あてずっぽうでも当たりにくくなるからです。
このあてずっぽうのやり方は「総当たり攻撃(ブルートフォースアタック)」と呼ばれています。すべてのアカウントで片っ端から試されていると考えたほうが良いでしょう。
下記のリンク先ページでは、パスワードの文字種と長さによって、解読までの時間にどれだけ変わるかが書いてありますので、参考にしてみてください。

>ウィキペディア「総当たり攻撃」
>株式会社ディアイティ「セキュリティ調査レポートVol.3 パスワードの最大解読時間測定 【暗号強度別】」
>せぐなべ「パスクリ通信 パスワードが破られる時間」

他のサービスと同じものを使いまわさない

人間、覚えられる数には限界がありますよね。ですから、他のサービスで使っているパスワードを使いまわして覚える数を減らそうとするのは自然な考え方です。
しかし、とあるサービス業者がミスをしたり、スゴ腕のハッカーに不正侵入されたり、内部の人間が悪いことを考えたりして、パスワードデータが漏洩してしまったとしたらどうなるでしょうか。こういった事件は、残念ながら今までに何度も起こっているのです!
ハッカーは漏洩したパスワードのリストを持っています。そして、そのリストを使って、まだ漏洩していない他のサービスへのログインを試していくのです。
SENアカウントやMicrosoftアカウントのように、メールアドレスがユーザー名(ID)になっているサービスは、IDもバレているわけですから、あとはツールを使って順番に組み合わせを試していくだけ。
この、漏洩したパスワードリストで他のサービスのログインを試す侵入方法を「リスト型攻撃」と呼んでいます。
リスト型攻撃を防ぐために、サービスごとにパスワードを変えることが重要です。

じゃあ、どんなパスワードならOK?

ここまで、どんなパスワードがダメか、を説明しました。
では、どんなパスワードがOKなのかは、ダメの逆をやったほうがよさそうです。
つまり、

パスワード作成【仮】ルール
・意味がないほうが良い
・文字種をいろいろ使ったほうが良い
・長ければ長いほうが良い
・複数のサービスで使いまわさない

ということですね。
これらの【仮】ルールに従って、自分なりのパスワード作成方法を編み出してみました。

【1】好きな食べ物と動物を組み合わせて、ローマ字の子音だけ抜き出す。
食べ物部分は大文字、動物部分は小文字。
例:たこ焼き猫→TAKOYAKIneko→TKYKnk

【2】これを読んでいる今の時刻
時刻を4ケタの数字にして、今後すべてのパスワードに使う数字として覚えます。
例:20時34分→2034

【3】記号を使った顔文字
好きなものにしましょう。英文字や数字を入れてもOK。ただし記号は必ず使う!
これもそのまま覚えます。
例:*w*

まず、ここまでの【1】【2】【3】を組み合わせます。
例:TKYKnk2034*w*

さらに、サービスごとに変える部分として、これから登録するサービスの名前を英語(ローマ字)にして省略したものを加えます。
例:ニンテンドーアカウントの場合
ニンテンドーアカウント→NINTENDOACCOUNT→NTDA

これらを全部組み合わせると……
「TKYKnk2034*w*NTDA」になります。

ただし、パスワードに記号が使えなかったり、使える文字数が少ない場合は、省略する必要が出てきます。

例:ヤマト運輸の「クロネコメンバーズ」の場合、「記号不可・12文字まで」なので、記号部分を使わず、サービス名部分も短くする
クロネコメンバーズ→KURONEKOMEMBERS→KM

前述の【1】【2】に、サービス名の省略を組み合わせて「TKYKnk2034KM」になります。

……と、ここまで「僕の考えたパスワード作成方法」を紹介しましたが、このままのルールで作るのはダメですよ!
あくまでも「あなたが自分で作成方法を編み出す」のが大事なのです。
これは「パスワードの作り方の例」ではなく「パスワードの作り方の編み出し方」の例です。

「とにかく長いほうが良いので、辞典を適当に開いて出てきた言葉を、いくつかつなげる」という方法を勧めている識者の方もいます。
この方法だと、「サービスごとに辞書を開いてパスワード作ると覚えにくい」とか「記号を必須にしてるサービスはどうしよう」とかの課題が出てきます。
この辞書を使ったパスワード作成方法をアレンジして、これらの課題をクリアした、自分だけのオリジナルの作成方法を考えだすのもアリです。

先ほどは「パスワード作成【仮】ルール」としましたが、【絶対】ルールとしては……

・予想されないようにする
・できるだけ長くする
・使いまわさない

この3つです。
この3つを守った自分だけの作成方法を編み出して、いくつものパスワードを作成していきましょう。

ちなみに総務省の「国民のためのセキュリティサイト」でも、パスワード作成と運用のルールを公開しているので、参考にしてみてください。

>総務省「国民のためのセキュリティサイト 安全なパスワード管理」

パスワードをメモる場合は要注意

自分だけの作成方法でいくつものパスワードを作っていると、どうしても覚えきれなくなるでしょう。
また、サービスによって設定されている文字種や文字数が違うので、パスワード作成方法を統一できなくて、不便を感じるかもしれません。そうすると、メモに残したいと考えるでしょう。

実は、メモっても良いのです。
ですが、本来、自分の脳の中にだけ留めておくべきパスワードをメモするのは、注意が必要です。そのメモを他の人に見られたり、取られたりしないようにしましょう。
例えば、メモを財布にしまったり、専用のメモ帳を作ったり、ロックのかかるスマホ内のメモに保存したり、いつも肌身離さず持つようにして保管しておきましょう。
さらにメモを失くしたときのために、メモをコピーして家の誰にも見つからないとこに隠したり、自分専用パソコンにバックアップしたりしておきましょう。(パソコンの起動用パスワードだけは記憶しておきましょう)
普段使うPCやテレビなどにポストイットで貼っておいたり、誰かが見る可能性があるところに置いておいたりするのは最悪のパターンです。そのポストイットを持っていける人なら誰でもログインできてしまうわけですから。

パスワードでのログインは、自分だけが知っている知識で認証するので「知識認証」と言います。
対して、鍵を使って家の扉を開けるのは、自分が持っているモノ=所有物で認証するので「所有物認証」と言います。
パスワードを紙やスマホなどにメモするのは、「知識認証を所有物認証に変換」してしまっているのです。
なので、パスワードのメモは家の鍵と同じように、肌身離さず見られないように扱いましょう。

パスワードを守る便利なツール

メモをちゃんと隠して管理すればよいのなら、パスワードを管理するための道具を使うのも、ひとつのやり方です。
そこで! 登場するのがパスワード管理ソフトです。有名どころでは「1Password」「LastPass」、このサイト「せぐなべ」を運営しているパスロジもPassClip(パスクリップ)というスマホアプリを無料で提供しています。
パスワード管理ソフトは、半自動的に強力なパスワードを生成してくれるだけでなく、大量のIDとパスワードを覚えておいてくれます。
そして、その管理ソフトのマスターパスワードPassClipの場合はパターン)さえ覚えておけば、他は覚えておく必要がなくなるわけです。
ぜひ一度、パスワード管理ソフトを使ってみましょう。どのソフトを使えば良いかについては、「パスワード管理アプリ比較レビュー」を読んで参考にしてみてください。

>アカウント乗っ取りを防止!「パスワード管理アプリ」比較レビュー~選ぶ際のポイントと各アプリのレビュー

二段階認証を使ってさらにセキュリティを強化

サービスによっては、パスワードだけでなく、ログインしようとした時に入力する使い切りのパスワード(ワンタイムパスワード)を使うことによって、よりセキュリティをあげているサービスもあります。
まずパスワードで認証した後に、2段階目としてワンタイムパスワードで認証するので、「二段階認証」といいます。
サービスによっては「二要素認証」といっている場合もあります。セキュリティ専門用語としては「二段階認証」と「二要素認証」は違います。いずれにせよパスワードだけの認証よりも強いのは確かです。詳しい説明は下記の記事を参照してください。

>せぐなべ「パスクリ通信「二要素認証」と「二段階認証」の違い」

各オンラインゲーム用アカウントの二段階認証対応状況についてみて行きましょう。

SENアカウントはショートメッセージサービス(SMS)で

まず、「PlayStation Network」で使う「SENアカウント」です。
SENアカウントでは以前、アカウント情報などの大量流出などがあったため、セキュリティ的には低いと言われていましたが、近年になって二段階認証を採用してセキュリティが大幅に向上しています。
SENアカウントの二段階認証は、携帯電話のSMS(ショートメッセージサービス)を利用したものです。第2回記事の「SENアカウント」作成のところで、携帯電話の番号の入力を求められることを紹介しましたが、その番号はコレに使用します。
もし、PS3時代から、SENアカウントに変わる前の旧PSNアカウントをそのまま利用しているようでしたら、念のためパスワードを強力なものに変更し、二段階認証を有効化しましょう。
ここで一点注意です。PS VitaやPS3は二段階認証に対応していません。まだこうしたデバイスを使っている場合は、その機器専用のパスワードを別途発行して、そのパスワードを使う必要があります。具体的にはSENアカウントの管理ページからできますので、試してみてください。

>PSN「二段階認証」

ニンテンドーアカウントは対応なし

次に「Nintendo Switch」や、任天堂のスマートフォンゲームで使う「ニンテンドーアカウント」ですが、残念ながら現時点では二段階認証が導入されていません。
その分手軽に使えるということなのですが、強いパスワードを作ったり、パスワード管理ソフトをフル活用したりして、なるべくセキュリティをあげておくことが重要ですね。

Xbox LiveのMicrosoftアカウントはいろいろ対応

「Xbox Live」は前回のコラムでも若干触れましたが、基本的に「Microsoftアカウント」を使用します。そのため、Microsoftアカウントに用意された様々な二段階認証が利用できます。
一番簡便なのは、スマートフォンに「Microsoft Authenticator」を導入し、ログインする時にスマートフォンでも認証を行うようにする方式です。

>Microsoftアカウントサポート「Microsoft Authenticatorアプリの使い方」

Steamはスマホアプリで

PCでもっとも使われているゲームプラットホーム「Steam」にも「Steamガード」という二段階認証が存在します。
これも、スマートフォンにSteamアプリを入れて、必要な時にアプリに表示されたワンタイムパスワードを入力する方式です。
Steamではゲームをたくさん買う人も多いと思いますので、ぜひSteamガードを有効にしておきましょう。

>Steamサポート「Steamガード」

スクエニタイトルは、セキュリティトークンかソフトウェアトークン

「ドラゴンクエストX オンライン」や「ファイナルファンタジーXIV」などの超大作MMORPGを運営しているスクウェア・エニックスの「スクウェア・エニックスアカウント」では、キーホルダー型のワンタイムパスワード生成機「セキュリティトークン」か、スマートフォンアプリになった「ソフトウェアトークン」が利用できます。
特にドラクエXではワンタイムパスワードを利用することで様々な特典が得られるサービスがありますので、ぜひ利用しましょう。

>ドラクエXオンライン「ワンタイムパスワード導入のススメ」

SEGA IDは「Google Authenticator」対応

「ファンタシースターオンライン2」を運営するセガの「SEGA ID」では、Googleが提供するスマートフォン用ワンタイムパスワードアプリ「Google Authenticator」を利用した二段階認証が利用できます。
Google Authenticatorは標準的なワンタイムパスワードアプリで、例えば「1Password」などでも互換機能が搭載されています。
また、前出のMicrosoft AuthenticatorアプリもGoogle Authenticatorと互換性があり、Google Authenticator用のワンタイムパスワードはMicrosoft Authenticatorアプリでも表示できますので、どちらでも好きなほうで二段階認証設定をしておくと良いでしょう。

>SEGA ID安心ガイド「Google認証システムの登録方法」

Google Authenticatorは、オンラインゲームだけでなく、いろいろなサービスで採用されています。
新しいサービスにアカウント登録する時には、「二段階認証はないかな?」「Google Authenticator対応かな?」というのを確認してみると良いでしょう。

次回はボイスチャットに挑戦!

今回はパスワードと、その延長として二段階認証について、くわしく紹介しました。
自分の育て上げたキャラが他の人に取られた! というのは本当に悲しいものです。ぜひセキュリティを向上して自分のサービスアカウントを守りましょう。

第4回はオンラインゲームの華、ボイスチャットに挑戦してみます。
それではみなさん、良いゲームライフを過ごしましょう!

コラム:SNS認証には要注意!

サービスアカウントの中には、IDとパスワードを新たに登録させる代わりに、TwitterやFacebookなどのSNSにログインして、SNS経由で認証を完了させるものがあります。
例えばニンテンドーアカウントでも可能なのですが、これには注意が必要です。
TwitterやFacebookのアカウントが乗っ取られた! という話はよく聞くと思います。SNSのほうが世界的にはメジャーなサービスなので、狙われているのです。
そして、SNSが攻略されてしまうと芋づる式にゲームのサービスアカウントも乗っ取られてしまいます。
できれば認証は、それぞれのサービスで分けておいたほうがセキュリティ的には安全です。
どうしても仕方ない場合や、簡単にログインしたい場合は、SNSのアカウントを二段階認証などで、万全な対策をしておくことが重要です。

【著者プロフィール】

朽木 海 (γ-Reverse代表)
ゲーム会社や出版社などの「IPが欲しい会社」と、ライトノベル作家や脚本家、漫画家などの「IPを作りたいフリーランス」を繋げるためのプロジェクト「γ-Reverse」の代表。引き続きライター業や編集者業も行っています。
サービスアカウントのパスワードはそう頻繁に求められるものではありませんが、スクウェア・エニックスアカウントのパスワードはログイン時毎回求められるのですね。これはプレイヤーにも負担になっていると思うので、なんとかならないものでしょうか……。しかし、クライアントに覚えさせるのも最適かというとそうでもないので、悩ましいところです。

>オンラインゲームセキュリティガイド「正体バレても大丈夫?ネットの向こうにご用心」記事一覧

小説、映画、マンガ、アニメ、ゲームなどなど、
「架空世界」に登場する「認証」について紹介・解説!

>「架空世界 認証セキュリティセミナー」記事一覧