公開日:2025/09/03
パスワード漏洩時にやるべき4つの対処法!異常サインや予防策も解説
目次
企業のパスワード漏洩は、事業継続を脅かす重大なセキュリティインシデントです。万が一漏洩が発覚した場合、その後の対応が企業の明暗を分けます。
本記事では、企業がとるべき緊急時の4つの対処法や漏洩につながる原因、未然に防ぐ対策までわかりやすく解説します。自社のセキュリティ体制を強化するために、ぜひ最後までご一読ください。
なお、パスワードの使い回しや漏洩を防ぐには、クラウドサービスへのログインを一か所に集約するシングルサインオン環境も重要です。クラウド人事労務ソフトのSmartHRを導入すると、社内で利用中のSaaSにワンクリックでアクセスできます。
パスワード管理やログインの手間が軽減されセキュリティ向上につながりますので、気になる方は以下から詳細をご覧ください。
パスワード漏洩ですぐにやるべき4つの対処法
パスワード漏洩が発覚したら、慌てず下記の手順に沿って対応しましょう。
- 漏洩した事実を速やかに共有する
- 漏洩したアカウントと被害の範囲を特定する
- 漏洩したパスワードを変更する
- 警察や専門機関に相談する
1.漏洩した事実を速やかに共有する
従業員個人のアカウント、あるいは共有アカウントのパスワード漏洩が発覚した場合、直属の上長や情報システム部門に即時に報告してもらう体制を構築しましょう。企業のインシデント対応の初動が遅れると、被害を致命的なレベルまで拡大させるおそれがあります。
従業員に報告してもらう際のポイントは、以下のとおりです。
- 企業が定めるルールに従う(例:専用の報告システム、チャットツール、メール)
- 「いつ・誰が・どのサービスで・何が起きたか」を簡潔に説明してもらう
- 「〇〇という警告が表示された」など客観的な事実を添えてもらう
インシデントの第一報は、組織全体の事業継続性を守るために重要なアクションです。
なお、インシデントの第一報を適切に行うためには、平時からの備えが重要です。社内ルールの整備や運用のポイントについては、以下の記事も参考にしてみてください。
あわせて読みたい
2.漏洩したアカウントと被害の範囲を特定する
次に情報システム部門が主体となり、被害の全容を正確に把握します。従業員個人の判断で外部の漏洩確認サイトなどを利用すると、かえって情報拡散のリスクを高める可能性があるため、組織の指示に従いましょう。
従業員から報告を受けた情報システム部門は、まず下記を実施します。
- 該当アカウントの権限を停止する
- 関連サーバーやシステムのネットワークから隔離する
そのうえで以下を調査して、被害範囲を調査します。
- 同じID・パスワードで利用している、ほかの業務システムが存在しないか確認する
- 不正アクセスにより、どの情報資産が影響を受けたのかを把握する
この調査結果をもとに被害の深刻度を判断し、次に行なうべき対応の優先順位を決めましょう。
3.漏洩したパスワードを変更する
漏洩が確認されたアカウント、および同じパスワードを使い回している可能性のある全アカウントのパスワードを強制的にリセットします。攻撃者による不正アクセスを遮断し、被害の拡大を食い止める効果的な応急処置です。
新しいパスワードを設定する際は、推測されやすいものを避けましょう。以下のように複雑で強力なパスワードがおすすめです。
- 12文字以上
- 大文字・小文字・数字・記号を組み合わせる
サービスごとにまったく異なる、固有のパスワードを設定することが重要です。
4.警察や専門機関に相談する
金銭的な被害や不正アクセスが確認された場合は、速やかに警察や専門機関へ相談しましょう。不正アクセスそのものが法律で罰せられる犯罪であるため、公的機関に相談することで、被害回復の手続きやアドバイスを受けられます。
以下が、具体的な行動の一例です。
- 不正な操作ログや不審な通信記録など、法的な証拠となりうるデータを保存する
- 警察署やIPA(情報処理推進機構、以下IPAと記載)のサイバーセキュリティ相談窓口へ届け出る
連絡先には、主に次の2つがあります。
項目 | 連絡先 |
|---|---|
警察庁 | |
IPA(情報処理推進機構) |
自社のみで完結させようとせず、外部の専門家の知見を借りることが、被害を最小限に抑える鍵です。
パスワード漏洩後に確認すべき3つの異常サイン
パスワード漏洩が起きた際に確認すべき、攻撃の痕跡となる3つのサインを紹介します。
- 不審なログイン履歴がないか
- 購入履歴や利用明細に異常がないか
- アカウントの登録情報が改ざんされていないか
1.不審なログイン履歴がないか
パスワード変更後、アカウントのログイン履歴やアクティビティログを確認しましょう。第三者がアカウントへ不正アクセスしたかどうかを示す、直接的な証拠となります。
主要なサービスでは、セキュリティ設定画面から「いつ・どこから・どのデバイスでログインがあったか」を一覧で確認する機能が備わっています。
ここで注目すべきは、従業員の行動とは明らかに異なる記録です。たとえば、以下のようなログは警戒が必要です。
- 海外のIPアドレスからのアクセス
- 深夜や休日など、業務時間外でのログインやファイル操作
- 退職済み従業員のアカウントからの認証試行
- 短時間での大量のファイルダウンロード
従業員の覚えのない履歴を発見した場合は、証拠としてスクリーンショットを保存しておきましょう。
2.購入履歴や利用明細に異常がないか
攻撃者の目的は、企業の金銭的資産を狙うことでもあります。大規模な被害が発生する可能性があるため、法人契約サービスの利用状況は必ず確認しましょう。
具体的には、次のようなサービスの購入履歴や利用明細をチェックします。
種類 | 確認事項の例 |
|---|---|
SaaS (Software as a Service) |
|
ウェブ広告プラットフォーム |
|
不正利用を発見した場合は、すぐにサービス提供元のサポートへ連絡し、アカウントの保護と請求の停止を依頼しましょう。
3.アカウントの登録情報が改ざんされていないか
アカウントに登録されている個人情報が書き換えられていないかも、必ず確認してください。悪質な攻撃者は、本来の利用者をアカウントから締め出す「アカウント乗っ取り」を目的とします。
その手口として、連絡用のメールアドレスや電話番号を攻撃者のものに変更し、パスワードを再設定できなくするケースがあります。そのため、各サービスのプロフィール編集画面を開き、下記の情報が従業員のものかをチェックしましょう。
- 登録されている氏名
- メールアドレス
- 電話番号
- パスワードリセット時の連絡先
もし情報が改ざんされていたら正しい情報に修正し、再度パスワードを変更してください。
パスワード漏洩でよくある5つの原因
パスワード漏洩の主な原因は、利用者の不注意やサービス提供側の脆弱性といった5つのパターンに分けられます。自社に当てはまるものがないか、チェックしながら見ていきましょう。
- 推測されやすいパスワードにしている
- 同じパスワードを使い回している
- システムのセキュリティに脆弱性がある
- フィッシング詐欺の被害に遭っている
- サービス提供元から情報が流出している
1.推測されやすいパスワードにしている
攻撃者は考えうる組み合わせや、よく使われる単語のリストをもとに、パスワードを解読しようとします。過去の漏洩データを学習したAIなら、人間が考えがちなパターンを予測し、従来よりも高速でパスワードを解析できます。
米セキュリティ企業のHome Security Heroesが2023年に公開した結果によると、AIを用いたパスワードクラックの試算では、全体の51%のパスワードが1分未満で解読できることがわかりました。
安全を確保するためには、英数記号を組み合わせた、ランダムで複雑なパスワードの作成が必須です。
2.同じパスワードを使い回している
同じパスワードを使い回している場合、1つのサービスからの情報流出が、ほかのアカウントの乗っ取りへと連鎖的に被害を拡大させます。これは攻撃者が、ダークウェブなどで不正に入手したIDとパスワードのリストを使用し、さまざまなウェブサイトへの自動ログインを試みるためです。
IPAが2023年に公表した調査結果によると、パソコン利用者でパスワードの使い回しをしていない人は平均58.1%であり、残りの約半数はパスワードを使い回している状況です。
自身のアカウントを守るために、サービスごとにまったく異なるパスワードの設定が重要です。
3.システムのセキュリティに脆弱性がある
利用しているサービスやシステム自体にセキュリティ上の欠陥がある場合、情報漏洩のリスクに晒されます。たとえば、企業のシステムでは以下のような脆弱性が大きな脅威となります。
脅威の種類 | 概要 |
|---|---|
SQLインジェクション | ウェブサイトの入力フォームなどからデータベースを不正に操作し、個人情報や取引履歴を盗む |
ソフトウェアのバージョンの古さ | 利用しているOSやミドルウェアが、古いバージョンのまま放置されている |
ゼロデイ攻撃 | ソフトウェアの脆弱性が発見されてから、修正パッチの提供までの無防備な期間を狙う |
社内にシステムやツールを導入する際は、第三者による脆弱性診断を定期的に実施しているかも重視しましょう。
4.フィッシング詐欺の被害に遭っている
フィッシング詐欺は、他者になりすましてユーザーを騙し、パスワードなどの重要情報を自ら入力させる手口です。近年は特定の企業や役職者を狙い撃ちする、スピアフィッシングが主流となっています。
攻撃者は、以下のように取引先・顧客・自社の経営層などを装い、メールを送信してきます。
- 取引先を装った請求書送付の案内
- 経営層を名乗る至急の振り込み依頼
- 情報システム部門からのパスワード変更の依頼
フィッシング詐欺の被害を防ぐためには、標的型攻撃メール訓練の実施や多要素認証(Multi-Factor Authentication、以下MFAと記載)の設定が重要です。
5.サービス提供元から情報が流出している
取引先や利用しているクラウドサービスなど、ビジネスパートナーを踏み台にして侵入されるサプライチェーン攻撃も原因のひとつです。
自社のセキュリティをどれだけ固めても、サプライチェーンを構成する組織のどこかが侵入口となると、最終的な標的とされてしまいます。具体的には下記のケースがあります。
脅威の種類 | 概要 |
|---|---|
ソフトウェア開発元の侵害 | ソフトウェアの正規アップデートにマルウェアを混入させる |
SaaS提供元の侵害 | 業務で利用するID管理サービスや顧客管理ツールなどの提供元が攻撃を受け、その管理者権限が乗っ取られる |
この場合、自社のサプライチェーン全体を俯瞰したリスク管理が欠かせません。ISMS(情報セキュリティマネジメントシステム)などの第三者認証の取得状況の確認や、委託先へのアクセス権限の見直し・セキュリティ要件の明文化もあわせて実施しましょう。
パスワード漏洩を防ぐための6つの対策
今日から実践できるパスワード漏洩を未然に防ぐ方法から、企業として導入すべきシステムまで、6つの有効な対策を解説します。
- 複雑で推測されにくいパスワードを設定する
- 多要素認証(MFA)を設定する
- アカウントごとに違うパスワードを設定する
- 基本は問題発生時のみパスワードを変更する
- シングルサインオン(SSO)を導入する
- 使用されていないアカウントを削除する
1.複雑で推測されにくいパスワードを設定する
パスワードセキュリティの基本は「長く、複雑で、推測されにくい、唯一のパスワード」を設定することです。
総務省の「国民のためのサイバーセキュリティサイト」や警視庁のウェブサイトでは、安全なパスワード・危険なパスワードとして以下を挙げています。
種類 | 内容 |
|---|---|
安全なパスワード |
|
危険なパスワード |
|
参考:
「安全なパスワードの設定・管理」- 総務省
「IDとパスワードの適切な管理」- 警視庁
なお、従業員の意識や努力だけに依存せず、法人向けのパスワードマネージャーを導入するのもひとつの手です。長く複雑なパスワードがサービスごとに自動生成されるため、パスワードを安全に保管しやすくなります。
2.多要素認証(MFA)を設定する
パスワードと並んで重要なのが多要素認証です。多要素認証とは、以下のうち2つ以上の要素で本人確認を行なう仕組みです。
種類 | 認証方法 |
|---|---|
知識情報 | ユーザーが知っている情報 例:パスワード、秘密の質問 |
所持情報 | ユーザーが所有している物 例:スマートフォン、ICカード |
生体情報 | ユーザーの身体的特徴 例:指紋、顔、虹彩 |
たとえパスワードが攻撃者に漏れても、多要素認証を設定していれば、攻撃者はスマートフォンなど物理的なデバイスなしにはログインできません。つまり、多要素認証は不正アクセスを防ぐ最後の砦として機能します。
主要なウェブサービスのほとんどが対応しているため、今すぐ設定を見直しましょう。
3.アカウントごとに違うパスワードを設定する
アカウントごとに異なるパスワードを設定することも、重要な漏洩対策のひとつです。
IPAでは使い回しを回避するパスワードの作成方法として、コアパスワードの作成を推奨しています。コアパスワードとは、下図のように特定のフレーズをローマ字や記号などに置き換え、全パスワードに共通して使用するものです。
次に、各サービスの略称やURLの一部から短い文字列を決め、コアパスワードの前または後に追加します。
この手順なら複雑でも覚えやすいパスワードを作成できるため、パスワードの使い回しを回避しやすくなります。
4.基本は問題発生時のみパスワードを変更する
国家サイバー統括室が公表する「インターネットの安全・安心ハンドブック」によると、パスワードの定期変更は基本的に必要ないとされています。定期的な変更を強制されると、ユーザーは単純なパスワードや使い回しをしやすくなり、セキュリティレベルが低下するためです。
一方、下記のような事態が起きたときは、パスワードの変更が欠かせません。
- アカウントが乗っ取られた場合
- パスワード漏洩の警告を受けた場合
- 利用中のサービスで情報流出があった場合
このように問題が発覚した場合のみ、速やかに変更する運用が推奨されています。
5.シングルサインオン(SSO)を導入する
とくに、職場で複数のクラウドサービスを利用している企業にとって、シングルサインオン(SSO)の導入は有効です。シングルサインオンとは、一度の認証で連携している複数のクラウドサービスにログインできる仕組みです。
従業員は覚えるパスワードが1つで済むため、利便性が向上します。結果としてパスワードの使い回しや安易なパスワード設定といったリスクを軽減できます。管理者側も、従業員が利用する複数のサービスへのアクセスを一元的に制御できるため、運用負荷を軽減しながらセキュリティの統制を図りやすくなります。
ただし、シングルサインオンの認証基盤はすべてのアクセスの起点となるため、破られると全サービスに影響がおよびます。導入の際は、シングルサインオン自体に多要素認証を適用することが必須です。
6.使用されていないアカウントを削除する
長期間利用していないシステムやツールのアカウントは、定期的に削除しましょう。知らないうちにサービス提供元がサイバー攻撃に遭い、個人情報流出に発展する可能性があります。
弊社(株式会社SmartHR)の情報システム部門を対象とした調査では、60.2%の企業で退職者や異動者のSaaSアカウントが残っている実態が明らかになりました。
この問題を解決するには、下記のような体制を構築する必要があります。
- 定期的なアカウントの棚卸しで、不要なアカウントを正確に洗い出す
- 人事部門との連携を見直し、アカウントが漏れなく発行・削除されるようにする
- ID管理システムを導入し、アカウントの発行・停止を自動化する
攻撃者の侵入口を物理的に減らすためにも、人事情報と連携したアカウント管理が重要です。
ID管理システムについて詳しく知りたい方は、「IDaaSとは?機能や注意点、導入手順までわかりやすく解説」の記事を参考にしてみてください。
あわせて読みたい
パスワード漏洩のリスクを軽減するなら『SmartHR』がおすすめ
従業員の利便性と企業のセキュリティ担保を両立するなら、シングルサインオン機能のあるクラウドサービスの導入が有効です。
クラウド人事労務ソフトのSmartHRでは、従業員が一度ログインするだけで、社内で利用中のSaaSやクラウドサービスにアクセスできる「IdP」機能を提供しています。
さらにパスワードの使い回しを防ぎ、パスワード漏洩リスクの低減など、セキュリティ強化も実現できます。
また、従業員の最新情報がSmartHRに集約されるため、入退社にあわせて関係部署とやり取りする工数を削減できるのもメリットです。
パスワード漏洩を防いで自社の信頼性を維持しよう
パスワード漏洩は、原因の特定やインシデント発生時の迅速な対処、予防策が欠かせません。
万が一の際は、慌てず速やかに報告・調査し、被害の拡大を防げるようにしましょう。同じインシデントを繰り返さないために、推測されにくいパスワードの設定や使い回しの禁止、多要素認証といった基本対策を徹底することが重要です。
まずは本記事を参考にして、社内のパスワードの取り扱いルールを見直すことからはじめてみてください。
SmartHRでは安心して利用いただけるよう、不正アクセスや脆弱性への対策といった技術的対策も徹底しています。SmartHRの「IdP」機能について詳しく知りたい方は、ぜひ以下からダウンロードしてご覧ください。
関連ページ
お気軽にお問い合わせください
SmartHR導入に関するご相談、
見積もりのご依頼、
トライアルを受け付けています。
