会社の情報漏えい事件と聞くと、映画のような高度なハッキングを想像するかもしれません。 実際には、弱いパスワード、または他所から漏れたパスワードの使い回しで、 正面玄関から入られるケースが大半です。攻撃者にとって、鍵のかかっていないドアを 開けるのに技術は要りません。
この記事では「弱いパスワードとは何か・どれくらい危険か」と、 その対策の本命である「2要素認証」を、IT の予備知識なしで分かるように説明します。
弱いパスワードとは何か
次のどれかに当てはまれば「弱い」と考えてください。
- 短い: 8文字以下は、長さだけでもう危険水域です
- 推測できる:
password、123456、qwertyのような定番。 会社名+年号(netwiz2026)、名前+誕生日(tanaka0415)もこの仲間です。 攻撃者はまず「よく使われるパスワード一覧」と「その会社の公開情報」から試します - 使い回している: これが実は最も危険です。パスワード自体が強くても、 使い回した先のどこか1つのサービスから漏えいすれば、全部が破られます
どれくらい危険なのか
総当たり攻撃: 攻撃者は人間の手ではなく、機械で毎秒膨大な数の組み合わせを試します。 数字だけの8桁(生年月日など)は事実上一瞬で破られます。英小文字だけの8文字も 現代の計算能力の前では持ちこたえられません。一方、文字種を混ぜた12〜16文字になると、 解読に必要な時間は年単位・非現実的な規模まで一気に伸びます。パスワードの強度は 複雑な記号より「長さ」が支配的です。
使い回しを突く攻撃(リスト型攻撃): どこかのサービスから漏えいした 「メールアドレスとパスワードの組」のリストは、攻撃者の間で流通しています。 攻撃者はそのリストを、あなたの会社のメールやクラウドサービスに対して機械的に試します。 つまりあなたの会社が一度も攻撃されていなくても、社員が私用サイトで使い回していれば、 会社のアカウントは破られます。
破られた後に起きること: 中小企業で典型的なのは、メールの乗っ取りです。 攻撃者はしばらく黙ってメールを盗み見て取引の流れを学習し、頃合いを見て 「振込先が変わりました」という偽メールを取引先に送ります(ビジネスメール詐欺)。 被害者は自社だけでなく、取引先にまで及びます。
強いパスワードの作り方(今の常識)
- 長さを最優先する: 最低12文字、できれば16文字以上
- パスフレーズ方式が現実的: 無関係な日本語の単語をローマ字でつなぐ
(例:
kujira-denwa-satou-hashiruのような形式)。長くて強いのに覚えやすい方式です ※例そのものは使わないでください - 使い回さない: 特に「会社のメール」「銀行」「会計ソフト」は必ず個別に
- パスワード管理ツールを使う: 全部を人間が覚えるのは不可能です。 管理ツールに生成と記憶を任せ、人間はマスターパスワード1つを覚える運用が現実解です
- 定期変更は原則不要(新常識): かつては「90日ごとに変更」が推奨されましたが、
現在は国の指針も「漏えいの兆候がない限り定期変更は不要」に変わっています。
定期変更の強制は
Pass2026a→Pass2026bのような弱い連番を誘発するためです。 変えるのは「漏えいしたとき・その疑いがあるとき」です
2要素認証とは何か
パスワードをどれだけ強くしても、盗まれたら終わり——この弱点を塞ぐのが2要素認証です。
本人確認に使える「要素」は、大きく3種類あります。
- 知識: 本人だけが知っているもの(パスワード、暗証番号)
- 所持: 本人だけが持っているもの(スマホ、ICカード、鍵)
- 生体: 本人自身の特徴(指紋、顔)
2要素認証(2FA / 多要素認証)とは、この3種類のうち異なる2種類を組み合わせることです。
実は、皆さんは普段の生活ですでに2要素認証を使っています。 銀行のATMでお金を引き出すとき、キャッシュカード(所持)と暗証番号(知識)の 両方が必要ですよね。あれがまさに2要素認証です。カードを拾っただけの人は 暗証番号を知らないので引き出せず、暗証番号を盗み見ただけの人はカードを 持っていないので引き出せない。どちらか片方では突破できない——この仕組みを、 インターネットのサービスにも適用しよう、というだけの話です。
ネットの世界での組み合わせは、たとえば「パスワード(知識)+ スマホアプリの 確認コード(所持)」。こうすると、パスワードが盗まれても、攻撃者はあなたの スマホを持っていないのでログインできません。リスト型攻撃も総当たりも、 この一枚で大半が無効化されます。
「2段階認証」と何が違うのか
似た言葉に「2段階認証」があります。厳密には意味が違います。
- 2段階認証: 確認の「回数」が2回という意味。同じ種類の要素を2回でも成立します。 例:「パスワード + 秘密の質問」は、どちらも知識なので2段階だが2要素ではない。 秘密の質問(母親の旧姓など)は調べれば分かることも多く、防御力は限定的です
- 2要素認証: 確認の「種類」が2つという意味。こちらの方が強い概念です
実務では神経質になる必要はありません。各サービスが「2段階認証」と呼んでいる機能の 中身は、多くの場合スマホアプリやSMSを使う実質2要素です。大事なのは呼び方ではなく、 「パスワード以外のもう1つ」を有効にすることです。
方式にも強弱がある
2要素認証の「2つ目」にも種類があり、強さが違います。
| 方式 | 強さ | 備考 |
|---|---|---|
| SMSでコードを受け取る | △ | 最も弱いが、無いよりは遥かに良い |
| 認証アプリ(確認コード表示型) | ○ | 標準的な推奨。Google Authenticator、Microsoft Authenticator など |
| パスキー・ハードウェアキー | ◎ | 偽サイトに入力してしまう事故まで防げる。対応サービスが拡大中 |
迷ったら認証アプリ方式を選んでください。なお最近は「パスキー」という、 パスワードそのものを無くす仕組みへの移行が始まっています。対応しているサービスでは 積極的に使って構いません。
会社として最初にやること
全部を一度にやる必要はありません。優先順位はこうです。
- 会社のメール(Microsoft 365 / Google Workspace)に2要素認証を必須化: メールは全サービスの「パスワード再設定」の受け口であり、ここが本丸です
- 銀行・会計・給与のサービス: お金に直結するものを次に
- 各サービスの管理者アカウント: 一般ユーザーより先に管理者から
- 使い回しの棚卸し: 社員に「会社のパスワードを私用サイトと共用しない」を ルールとして明文化し、パスワード管理ツールの導入を検討する
まとめ
弱いパスワードと使い回しの危険性、そして2要素認証が「呼び方より中身」であることを 説明しました。自社で今日からできるのは、メールへの2要素認証の必須化と、 使い回し禁止のルール化です。
一方で、「うちのサービス構成でどこから有効化すべきか」「管理者アカウントが 誰の名義でどこにあるか分からない」「社員への展開をどう進めるか」——このあたりは 御社の環境次第です。現在お使いのサービスの一覧を添えて、無料相談からどうぞ。