Netwiz LLC

なぜ弱いパスワードを使ってはいけないのか。2要素認証と2段階認証の違いまで

ネットウィズ合同会社 庄司育雄

会社の情報漏えい事件と聞くと、映画のような高度なハッキングを想像するかもしれません。 実際には、弱いパスワード、または他所から漏れたパスワードの使い回しで、 正面玄関から入られるケースが大半です。攻撃者にとって、鍵のかかっていないドアを 開けるのに技術は要りません。

この記事では「弱いパスワードとは何か・どれくらい危険か」と、 その対策の本命である「2要素認証」を、IT の予備知識なしで分かるように説明します。

弱いパスワードとは何か

次のどれかに当てはまれば「弱い」と考えてください。

  • 短い: 8文字以下は、長さだけでもう危険水域です
  • 推測できる: password123456qwerty のような定番。 会社名+年号(netwiz2026)、名前+誕生日(tanaka0415)もこの仲間です。 攻撃者はまず「よく使われるパスワード一覧」と「その会社の公開情報」から試します
  • 使い回している: これが実は最も危険です。パスワード自体が強くても、 使い回した先のどこか1つのサービスから漏えいすれば、全部が破られます

どれくらい危険なのか

総当たり攻撃: 攻撃者は人間の手ではなく、機械で毎秒膨大な数の組み合わせを試します。 数字だけの8桁(生年月日など)は事実上一瞬で破られます。英小文字だけの8文字も 現代の計算能力の前では持ちこたえられません。一方、文字種を混ぜた12〜16文字になると、 解読に必要な時間は年単位・非現実的な規模まで一気に伸びます。パスワードの強度は 複雑な記号より「長さ」が支配的です。

使い回しを突く攻撃(リスト型攻撃): どこかのサービスから漏えいした 「メールアドレスとパスワードの組」のリストは、攻撃者の間で流通しています。 攻撃者はそのリストを、あなたの会社のメールやクラウドサービスに対して機械的に試します。 つまりあなたの会社が一度も攻撃されていなくても、社員が私用サイトで使い回していれば、 会社のアカウントは破られます

破られた後に起きること: 中小企業で典型的なのは、メールの乗っ取りです。 攻撃者はしばらく黙ってメールを盗み見て取引の流れを学習し、頃合いを見て 「振込先が変わりました」という偽メールを取引先に送ります(ビジネスメール詐欺)。 被害者は自社だけでなく、取引先にまで及びます。

強いパスワードの作り方(今の常識)

  • 長さを最優先する: 最低12文字、できれば16文字以上
  • パスフレーズ方式が現実的: 無関係な日本語の単語をローマ字でつなぐ (例: kujira-denwa-satou-hashiru のような形式)。長くて強いのに覚えやすい方式です ※例そのものは使わないでください
  • 使い回さない: 特に「会社のメール」「銀行」「会計ソフト」は必ず個別に
  • パスワード管理ツールを使う: 全部を人間が覚えるのは不可能です。 管理ツールに生成と記憶を任せ、人間はマスターパスワード1つを覚える運用が現実解です
  • 定期変更は原則不要(新常識): かつては「90日ごとに変更」が推奨されましたが、 現在は国の指針も「漏えいの兆候がない限り定期変更は不要」に変わっています。 定期変更の強制は Pass2026aPass2026b のような弱い連番を誘発するためです。 変えるのは「漏えいしたとき・その疑いがあるとき」です

2要素認証とは何か

パスワードをどれだけ強くしても、盗まれたら終わり——この弱点を塞ぐのが2要素認証です。

本人確認に使える「要素」は、大きく3種類あります。

  1. 知識: 本人だけが知っているもの(パスワード、暗証番号)
  2. 所持: 本人だけが持っているもの(スマホ、ICカード、鍵)
  3. 生体: 本人自身の特徴(指紋、顔)

2要素認証(2FA / 多要素認証)とは、この3種類のうち異なる2種類を組み合わせることです。

実は、皆さんは普段の生活ですでに2要素認証を使っています。 銀行のATMでお金を引き出すとき、キャッシュカード(所持)と暗証番号(知識)の 両方が必要ですよね。あれがまさに2要素認証です。カードを拾っただけの人は 暗証番号を知らないので引き出せず、暗証番号を盗み見ただけの人はカードを 持っていないので引き出せない。どちらか片方では突破できない——この仕組みを、 インターネットのサービスにも適用しよう、というだけの話です。

ネットの世界での組み合わせは、たとえば「パスワード(知識)+ スマホアプリの 確認コード(所持)」。こうすると、パスワードが盗まれても、攻撃者はあなたの スマホを持っていないのでログインできません。リスト型攻撃も総当たりも、 この一枚で大半が無効化されます。

「2段階認証」と何が違うのか

似た言葉に「2段階認証」があります。厳密には意味が違います。

  • 2段階認証: 確認の「回数」が2回という意味。同じ種類の要素を2回でも成立します。 例:「パスワード + 秘密の質問」は、どちらも知識なので2段階だが2要素ではない。 秘密の質問(母親の旧姓など)は調べれば分かることも多く、防御力は限定的です
  • 2要素認証: 確認の「種類」が2つという意味。こちらの方が強い概念です

実務では神経質になる必要はありません。各サービスが「2段階認証」と呼んでいる機能の 中身は、多くの場合スマホアプリやSMSを使う実質2要素です。大事なのは呼び方ではなく、 「パスワード以外のもう1つ」を有効にすることです。

方式にも強弱がある

2要素認証の「2つ目」にも種類があり、強さが違います。

方式強さ備考
SMSでコードを受け取る最も弱いが、無いよりは遥かに良い
認証アプリ(確認コード表示型)標準的な推奨。Google Authenticator、Microsoft Authenticator など
パスキー・ハードウェアキー偽サイトに入力してしまう事故まで防げる。対応サービスが拡大中

迷ったら認証アプリ方式を選んでください。なお最近は「パスキー」という、 パスワードそのものを無くす仕組みへの移行が始まっています。対応しているサービスでは 積極的に使って構いません。

会社として最初にやること

全部を一度にやる必要はありません。優先順位はこうです。

  1. 会社のメール(Microsoft 365 / Google Workspace)に2要素認証を必須化: メールは全サービスの「パスワード再設定」の受け口であり、ここが本丸です
  2. 銀行・会計・給与のサービス: お金に直結するものを次に
  3. 各サービスの管理者アカウント: 一般ユーザーより先に管理者から
  4. 使い回しの棚卸し: 社員に「会社のパスワードを私用サイトと共用しない」を ルールとして明文化し、パスワード管理ツールの導入を検討する

まとめ

弱いパスワードと使い回しの危険性、そして2要素認証が「呼び方より中身」であることを 説明しました。自社で今日からできるのは、メールへの2要素認証の必須化と、 使い回し禁止のルール化です。

一方で、「うちのサービス構成でどこから有効化すべきか」「管理者アカウントが 誰の名義でどこにあるか分からない」「社員への展開をどう進めるか」——このあたりは 御社の環境次第です。現在お使いのサービスの一覧を添えて、無料相談からどうぞ。