セキュリティのたね
MENU

パスワード定期変更は実は危険?攻撃者の新手口

sec_seed_admin

「パスワードは定期的に変えれば安全」という常識、実は今や時代遅れになりつつあります。米国のセキュリティ調査機関Forresterの試算によると、企業がパスワードをリセット(再設定)する際のコストは1回あたり約70ドル(約1万円)にのぼります。そしてこの「パスワードリセット」というプロセス自体が、攻撃者にとって絶好の侵入口になっているのです。日本でも多くのサービスや社内システムで同じ仕組みが使われているため、対岸の火事ではありません。

何が起きたのか?

2026年4月23日、米国のセキュリティメディア「BleepingComputer」が、パスワードの定期変更やリセット運用に潜む盲点について詳しく報じました。記事はセキュリティ企業Specops Softwareの調査を基にしており、企業のヘルプデスク(IT問い合わせ窓口)がいかに攻撃者に悪用されやすいかを明らかにしています。

攻撃者が使う手口は「ソーシャルエンジニアリング」と呼ばれるものです。

ソーシャルエンジニアリング(技術的な侵入ではなく、人間の心理や信頼関係を巧みに利用して機密情報を引き出したりシステムへのアクセスを得たりする攻撃手法)の典型的な流れはこうです。攻撃者は事前にSNSやリークした個人情報データベースから、ターゲット企業の社員の名前・部署・上司の名前などを調べ上げます。次に、「○○部の田中と申します。パスワードを忘れてしまい、急ぎの業務があって困っています。リセットをお願いできますか?」とヘルプデスクの担当者に電話やチャットで連絡します。担当者は業務を円滑に進めようと善意でリセットに応じてしまい、攻撃者はそのアカウントに堂々とログインできてしまうのです。

この手口の恐ろしい点は、多要素認証(MFA)(パスワードに加えてスマートフォンへの通知や指紋認証など、複数の方法で本人確認を行うセキュリティ機能)を完全に回避できてしまうことです。パスワードをリセットした直後はMFAの再設定が必要なため、一時的にMFAが無効化される瞬間が生まれます。攻撃者はその隙を突きます。実際、2023年に米国のカジノ大手MGMリゾーツが攻撃グループ「Scattered Spider」にサイバー攻撃を受け、約1億ドル(約150億円)の損害を出した事件でも、ヘルプデスクへの電話によるソーシャルエンジニアリングが侵入の起点となりました。

また「定期的なパスワード変更」そのものにも問題があります。強制的に毎月変更させられると、ユーザーは「Password1」→「Password2」→「Password3」のように、簡単に推測できる変化しかしなくなりがちです。こうしたパターンは攻撃者のツールにとって解読が容易で、かえってリスクを高めます。米国国立標準技術研究所(NIST)も、現在では「漏洩が疑われる場合を除き、定期的な強制変更は推奨しない」という方針に転換しています。

あなたへの影響は?

「これは企業の話で、個人には関係ない」と思いましたか?実はそうではありません。個人が日常的に使っているサービスでも、まったく同じ問題が起きます。

たとえば、フリマアプリやネットショッピングのアカウントで「パスワードを忘れた」をクリックすると、登録済みのメールアドレスにリセット用リンクが届きますよね。攻撃者がすでにあなたのメールアカウントを乗っ取っていた場合、そのリセットリンクを受け取るのは攻撃者です。メールアカウントは「すべてのサービスへの鍵」とも言えるほど重要なのに、そのメール自体のパスワードが使い回しや弱いパスワードであるケースは非常に多いです。

日本国内でも、2022年に大手通販サイトを装ったフィッシングメール経由でメールアカウントが乗っ取られ、連鎖的に複数のサービスが不正利用される被害が相次いで報告されました。フィッシング(銀行やショッピングサイトなど実在の組織を装ったメールやSMSで偽サイトに誘導し、IDやパスワードを盗み取る攻撃手法)によるアカウント侵害は、日本でも年間数万件規模で報告されており、他人事ではありません。

さらに、会社員の方は注意が必要です。テレワーク環境では、社内のIT担当者にチャットや電話でパスワードリセットを依頼することが増えています。攻撃者があなたの同僚や上司を装って「急ぎでリセットをお願いします」と連絡してきても、気づきにくい状況が生まれています。

今すぐできる対策

  • メールアカウントに多要素認証を設定する
    GmailやYahoo!メールなど、まずメールサービスの設定画面を開き、「セキュリティ」または「ログイン方法」の項目から「2段階認証」をオンにしましょう。スマートフォンへの通知(プッシュ通知)か、認証アプリ(Google AuthenticatorやMicrosoft Authenticatorなど)を使う方法が特に安全です。
  • パスワードは「長くてランダム」に変える
    「定期的に変える」より「最初から強いものにする」ほうが重要です。パスワードマネージャー(1PasswordやBitwardenなど)を使えば、サービスごとに異なる20文字以上のランダムなパスワードを自動生成・管理できます。覚える必要があるのはマネージャー自体のパスワード1つだけです。
  • パスワードリセットのメールが届いたら必ず確認する
    自分でリセットを申請していないのにリセット用メールが届いた場合、誰かがあなたのアカウントへの侵入を試みているサインです。すぐにそのサービスに直接ログインし(メールのリンクからではなく、ブラウザで直接URLを入力して)、パスワードと多要素認証の設定を確認しましょう。
  • ヘルプデスクや知人からのパスワード関連の連絡は慎重に
    電話やチャット・メールで「パスワードをリセットしてほしい」「確認コードを教えてほしい」と言われたら、まず一度電話を切り、公式の連絡先から折り返して本人確認を行いましょう。急かされても応じないことが大切です。
  • パスワードの使い回しをやめる
    特にメール・SNS・銀行・ショッピングサイトは、それぞれ異なるパスワードを設定してください。1つのサービスから情報が漏洩すると、同じパスワードを使っている他のサービスへの不正アクセスに悪用されます(これを「リスト型攻撃」といいます)。

まとめ

「定期的にパスワードを変えれば安全」という古い常識は、もはや通用しません。パスワードのリセットプロセス自体が攻撃の入り口になりうる時代であり、重要なのは「強くてユニークなパスワード+多要素認証」という組み合わせです。特にメールアカウントへの多要素認証設定は今日中に行うことをおすすめします。難しそうに聞こえますが、設定は5分もあれば完了しますよ。

📚 参考・引用情報

記事情報源日付
Regular Password Resets Aren’t as Safe as You Think🇺🇸 BleepingComputer
著者: Sponsored by Specops Software		2026/04/23

ABOUT ME
じゅげむ360
じゅげむ360
SecInfo編集部Admin
Cyber Security Consultant (CISSP) 小規模組織のIT担当者と個人向けにサイバーセキュリティ情報を発信しています。わかりやすく・すぐ使えることをモットーに
記事URLをコピーしました