BitWardenを使ってパスワードをマネジメントする方法(pictBLand被害者向け・汎用記事です)

この記事は約 16 分で読めます

 どうもこんにちは、如月翔也(@showya_kiss)です。
 今日は昨日から話題になっている腐女子特化SNSである「pictBLand」にて、会員情報が流出した件について、流出した場合にすべきである行動である「全ての登録サイトに対してパスワード変更を行って堅牢なパスワードを設定する」事について、BitWardenという無料でセキュアで高機能なアプリを使って行う方法について共有したいと思います。
 今回のきっかけは「poctBLand」ですが、それに関係なくパスワードを厳重に管理したいという考えの方はいっぱいいらっしゃると思うので、そういう方もぜひこの記事を読んでBitWardenで堅牢なパスワードを発行して使って下さい。

pictBLandでの被害について

 今回pictBLandで流出した情報のうち、致命的なものは、「メールアドレス」と「パスワード」そのものが流出した部分です。
 致命的な部分は、パスワードそのもので、もし「同じパスワードを他のサービスで使っていた」場合、今回乗っ取りを行ったハッカーは他のサービスで手に入れたメールアドレスとパスワードでログインを試みて、成功したらそのサービスも乗っ取られてしまうので、一番重要なのは「pictBLandと同じパスワードを設定していたサービス」のパスワードを全部変更しないと今回の被害からは逃げ切れません。
 また大問題として、Googleアカウントを「pictBLand」と同じパスワードで使っていた場合、Googleアカウントをそのまま乗っ取られてしまうので、Google連携していたサービスは全部乗っ取られると考えて良いです。
 これはAppleアカウントもMicrosoftアカウントもTwittrアカウントも全部一緒で、「同じパスワード」を使っていたものは全ての連携サービスが攻撃の対象です。
 結構大事なので注意して下さい。

 そして、もうひとつ気をつけて欲しいんですが「難しいパスワードを使っていれば大丈夫」という認識があるかも知れませんが、パスワードは「流出」する可能性があります。漏れた場合どんな難しいパスワードを設定していたとしても他のサービスで抜かれたパスワードを突かれてセキュリティを突破されるので、どんなに難しいパスワードでも「使いまわしている」場合、一箇所からの漏洩で全部のサービスがアウトです。

今後の事も考えた対応

 以上を踏まえ、これからパスワードが漏れて色々なサービスが一気に抜かれないようにするには、たった一つの方法しかありません。それは、各サービスごとに十分難しい・かつ同じパスワードを使い回さないでサービスごとに別のパスワードを発行して使う事です。
 もちろん現実的な話ではありません。メモ帳に記録を残すにせよ人に見られておしまいですし、パスワードのコピペもいちいち面倒くさいです。
 ではそれを現実的にするにはどうすればいいかというと、「パスワードマネージャ」という系統のアプリを使います。
 「パスワードマネージャ」はサービスのURLごとにユーザーIDとパスワードを記憶してくれて、サービスのログイン時にユーザーIDとパスワードを自動で入力してくれるアプリです。このアプリを使えば、自分では覚えられないような難しいパスワードでもアプリが管理してくれて自動入力してくれるので安全かつ確実にサービスを利用する事ができます。
 もちろんこの「パスワードマネージャ」が悪用されると全部のパスワードを使われてしまう危険性があるので、「パスワードマネージャ」を起動するためにマスターパスワードを設定する必要があります。このマスターパスワードはパスワードマネージャを使う時だけ必要なので、自分にしかわからない・かつ十分難しいパスワードを設定しましょう。

マスターパスワードの作り方

 自分にしかわからない・かつ十分難しいパスワードを持っていないと、パスワードマネージャのマスターパスワードが抜かれてパスワードマネージャの中にある全てのパスワードが自由に使われてしまうので、まずパスワードマネージャを使う前に「自分にしかわからない」かつ「十分難しい」パスワードの作り方のサンプルをお話します。BitWardenのマスターパスワードは12文字以上なので12文字以上のパスワードを設定します。
 まずSNSにアップしていない、かつ自分の中で思い出深いイベントを思い出します。僕の場合中学校の頃に生まれて初めて女の子に告白されたイベントを思い出しました。
 中学校の学校名は美香保中学校、アルファベットにすればmikahochuです。西暦にすると1989年の事です。
 ここでキーワードを数字を組み合わせます。
「m1i9k8a9hochu」です。これだけだとちょっと足りないので最後に適当に記号を加えましょう。今回は#を加えて「m1i9k8a9h#ochu」です。大文字がないとセキュリティが足りないので、私はモンスターハンターが少なのでMHを大文字にします。「M1i9k8a9H#ochu」です。これなら簡単に抜かれません。
 ちなみに年数だと結構簡単に予測されるので、年数じゃなく日付がわかるイベントなら数字を日付にすると良いです。もちろん誕生日は駄目ですよ?

BitWardenについて

 さて、パスワードマネージャに対して設定する難しいパスワードができたところで、私のおすすめのパスワードマネージャをご案内します。
 「BitWarden(ビットウォーデン)」です。
 BitWardenはオープンソースのパスワードマネージャで、有料プランもあるのですが、無料のプランで無制限の数のパスワードを保存する事ができ、Windows/Mac/Linux/iOS/Android向けのアプリが無料で使え、各種ブラウザにも機能拡張がありブラウザから直接使う事ができるアプリなので非常におすすめです。複数台のデバイスでパスワードを同期して使う事も無料の範囲でできるので、必要十分な機能を無料で提供してくれるサービスです。
 オープンソースというのはプログラムのソースコード(設計書)が誰でもアクセスできるという運営形態を指し、みんなが設計書を覗けるのでは逆に危険なのでは?と思うかも知れませんが、設計書をみんなが見ているので問題発見が早くすぐに問題が修正されるので、逆に設計書を隠して運営して滅多に気づけない欠陥に気づいた特定の一人がハックをしはじめるよりよほど安全性が高い構造になっているので、「活発な」オープンソースは基本的に安全度が高いと思ってくれて大丈夫です。

BitWardenの使い方(1:申し込み)

 まずBitWardenを使うには、BitWardenに使用の申込みをする必要があります。
 PC:モバイルブラウザから「https://bitwarden.com/ja-JP/pricing/」に移動して下さい。
 移動した画面、料金表示の画面になりますが、「無料アカウントを作成」を選んで下さい。BitWardenの基本的な機能を使うには有料プランは一切必要ないので、無料アカウントで十分です。この記事を読んでBitWardenを使い始め、他の機能が気になってきたら課金してもいいですが、まずは基本機能を無料で使いましょう。
 「無料アカウントを作成」を選ぶと英語のページに飛ばされますが焦らないで下さい。画面右側に入力欄があり、入力項目は日本語になっているはずです。
 迷わず、「メールアドレス」「名前」「マスターパスワード」「マスターパスワードを再入力」「マスターパスワードのヒント」を入力し、「以下に同意しチェックします」にチェックを入れて「アカウントの作成」をクリックします。
 メールアドレスはBitWardenのユーザーIDになる上になにかあった場合の連絡先になるので有効なアドレスを入力、名前は呼びかけてくるときの名前なのでハンドルを、マスターパスワードは先程作ったパスワードを入れて再入力では同じものを入力して下さい。
 「このパスワードの既知のデータ流出を確認」はチェックを入れてアカウントを作成した時に入力したメールアドレスとパスワードで今までにデータ流出したサービスがないかチェックしてくれる機能です。念のためチェックを入れて置きましょう。
 その状態で「アカウントの作成」を押すとBitWardenの画面になるので、今登録したメールアドレスとパスワードでログインします。まず最初の画面にはメールアドレスを入力、「メールアドレスを保存」にはチェックを入れて「続ける」をクリック、切り替わった画面でマスターパスワードを入れて「マスターパスワードでログイン」をクリックすると「保管庫」の画面に移動します。
 これで申し込みは完了しました。

BitWardenの使い方(2:メールアドレスの確認)

 BitWardenの全ての機能を使用するにはメールアドレスの確認が必要になります。
 保管庫画面の右側、「メールアドレスの確認」という項目があるのでその欄の中にある「メールを送信」ボタンから自分にメールを送って下さい。
 すると自分のメールに「Verify Your Email」というタイトルのメールが届くので(届かなかったら迷惑メールフォルダを確認してみて下さい)、メール本文にある「Verify Email Address Now」のリンクを開き、開いた画面でログインを求められるのでメールアドレス・マスターパスワードで認証を済ませておいて下さい。
 これでメール認証が済んだのでBitWardenの機能がほとんど使えます。

BitWardenを使い方(3:パスワードを覚えさせる)

 ではBitWardenで一番面倒くさい作業に移ります。パスワードを全部覚えさせる作業です。
 本来非常に面倒なので避けたい作業ですが、今回はpictBLandでパスワードが漏れたので全てのサイトでパスワード変更が必要です。変更の後ログインし直す時にパスワードを覚えさせればいいだけなので、今回は「ついで」で処理します。

 まず最初にブラウザ版のBitWardenをインストールしてブラウザ版からパスワードを変更する方法を使いましょう。
 BitWardenの画面右上、人物アイコンをクリックするとメニューが開き、アプリを入手する、という選択肢があるのでそれを選びます。
 英語の画面に移動して面倒に思えますが、「Web Browser」の中から使っているブラウザを選び、切り替わった画面で「追加」を選択、切り替わった画面で「LogIn」を選んでからBitWardenのメールアドレスとマスターパスワードを入力すれば準備は終了です。

 では、実際に一つ一つサービスごとにパスワードを変更していきます。
 まずパスワードを変更するサービスのURLに行き、パスワードを変更する時にBitWardenの画面に行き、画面上の「ツール」を選びジェネレーターの画面に移動してそこに表示されているパスワードをコピペしてパスワードに設定します。
 ちなみにジェネレーターで表示されるパスワードはアクセスするたびに毎回変わるので、違うサービスのパスワードを発行する時は画面を切り替えて別のパスワードを作って下さい。
 パスワードを変更したら一回サービスからログアウトしてログイン画面に移行し、ログイン画面からユーザー名と今変更した難しいパスワードでログインすると画面右上に「このパスワードをBitWardenに保存しますか?」と聞かれるので「保存する」を選べばオーケーです。
 これでブラウザ版からID・パスワードを登録する事ができました。
 Pixivなど一部のサイトではユーザー名が取得できない(変な数字になる)ので、保管庫から保管されているサイト名をクリックしてユーザー名を書き換える必要がある場合がありますので注意して下さい。

BitWardenを使い方(4:ブラウザ拡張以外)

 ブラウザ拡張以外からもBitWardenは使えます。具体的に言うとWindows/Mac/Linux/iOS/Android用にBitWardenのアプリは存在します。
 それぞれはBitWardenの画面の右上、人物アイコンから「アプリを入手する」を選んで、必要な環境のアイコンからダウンロードして下さい。iOSの場合App Store、Androidの場合Google Play Storeから「BitWarden」を検索すると入手する事ができます。
 アプリ版の場合ブラウザ拡張と違ってユーザー名・パスワードの自動入力はできないんですが、ユーザー名・パスワードをコピーする事ができるので、アプリでコピーしてブラウザに貼り付けたり、そもそも独立アプリでブラウザ拡張が使えない場合はアプリ版からID・パスワードをコピペする必要があります。コピペはコピーボタンがあるので実際はペーストするだけで行なえます。

BitWardenの使い方(5:ブラウザ拡張からのログイン)

 では実際に覚えさせたパスワードをどうやって入力するのかというと、ログイン画面でブラウザ拡張のBitWardenをクリックすると(必要に応じて認証が走り)、「ログイン」という項目の中にサイト名が表示されていると思うので、それをクリックするとユーザー名とパスワードが自動入力されます。
 もし自動入力されない場合は対応していないサイトなので、BitWardenのログイン項目の中の人物アイコンをクリックするとユーザー名がコピーされるのでそれを貼り付け、鍵アイコンをクリックするとパスワードがコピーされるのでそれを貼り付けて認証して下さい。ちょっと手間はかかりますが、パスワードを手打ちするのに比べると何倍も楽なのでブラウザ拡張は使ったほうがいいですね。
 というわけでBitWardenの使い方について概略をお教えしました。

まとめ

 というわけでBitWardenを使って各サービス・サイトにセキュアなパスワードを設定しつつ、マスターパスワード一つで全部のサイトにログインできる方法についての概略でした。
 BitWardenは他にも色々できるのですが、パスワードマネージャとしては上記の使い方を覚えておけば十分使えるのでぜひ設定してみて下さい。

この記事を書いた人 Wrote this article

如月翔也 男性

如月翔也です。ガジェットとAppleが大好きな中年男です。ガジェットがお好きな方、Appleがお好きな方、トラブルでお困りの方はぜひブログをごらん下さい。コメントを貰うと非常に喜ぶのでお気軽にコメントをお願いします。  詳細なプロフィールは「https://saigetudo.com」を御覧ください!