これだけあるパスワード運用の問題点、日本企業がとるべき傾向と対策:第1回
2013年10月28日(月)鵜野 幸一郎(日本セキュアテック研究所・代表)
サイバーの世界で本人認証の確実性が揺らいでいます。とりわけ、本人認証が必要な場面のほとんどすべて使われているパスワードが危機に瀕しています。第1回では、パスワードが盗用されている実態を示すことで、パスワードがどのような危機に瀕しているかを明らかにします。
頻発するパスワードの流出、不正アクセス事件
最近、パスワードの流出や不正アクセスに関する大きな事件が続発し、マスコミも警鐘を鳴らすようになってきました。パスワードの流出に関しては、例えば、以下のような事件・事故が起きています。
○大阪市職員が他部局のID・パスワードを使って庁内システムに約300回の不正アクセスを行い、逮捕された。部署IDには規則性があり、部署IDと初期パスワードは同じ文字列で発行される運用だったという[2013年9月]
○「2ちゃんねるビューア」で約3万2500件の個人情報(メルアド、パスワード、クレジットカード情報、住所、電話番号、IPアドレス)がネット上に流出[2013年8月]
○NTTコムのOCNに不正アクセス、400万件のID用メールアドレスと暗号化パスワード流出の可能性[2013年7月]
○LINEの「NAVERアカウント」のデータベースサーバーが不正アクセスを受け、個人データが外部流出[2013年7月]
一旦、どこかのシステムでパスワードが流出すると、攻撃者は流出したパスワードを使って別のシステムへの不正ログインを図ろうとします(図1)。
こうした不正ログインが試みられたのではないかと疑われる事例も次々に発生しています。
○他社のオンラインサービスで流出したと思われるアカウント名とパスワードを使用したスクウェア・エニックス アカウントへの不正アクセス[2013年9月]
○サイバーエージェントが運営するコミュニティゲームSNSサービス「Ameba」に24万3266件の不正ログインが発生[2013年8月]
○グリーが運営するSNS「GREE」で3万9590件の不正ログインが発生[2013年8月]
○リクルートライフスタイルが運営する旅行予約サイト「じゃらんnet」に2万7620件の不正ログインが発生[2013年8月]
さらに、なりすましによるポイントの不正使用など、直接的な金銭的被害も出てきました。
○カルチュア・コンビニエンス・クラブが運営するTポイントの管理サイト「Tサイト」に不正ログインがあり、Tポイントの不正利用が発生[2013年7月]
○楽天のポイントが第三者の電子マネーに不正移行、なりすましの可能性[2013年7月]
こうした中で政府は、社会保障・税番号制度、通称「マイナンバー」の制度化を決定しました。ICカードを併用するにせよ、パスワード流出・盗用事件が続発している状況で、国民全員を対象にしたマイナンバーとマイポータルがパスワードを前提に登場することに、筆者は大きな不安を覚えてしまいます。
利用者にパスワード運用の負担を押しつけている現状
この記事を読んでいる読者の多くは10組以上のパスワードを使っていることでしょう。野村総合研究所(NRI)によるインターネットユーザーのパスワードに関する実態調査によると、パスワードを使ってログインするサイト数は平均約19個にもなります。
これに対して記憶可能なパスワード数は平均 3.1組。となれば、ほとんどの人は、メモに頼っているのでなければ「パスワードを使い回ししている」と考えるのが現実的です。
かくいう筆者も、大半のアカウントで、IDは特定のメールアドレスを、パスワードは何とか覚えている虎の子の英数文字列を使い回すと、憂うべき状態を続けざるを得ないのが現状です。もし登録サイトのどこかでこれらが流出すれば大変困ったことになります。
攻撃を受けてパスワードを流出させた事業者あるいはその疑いのある事業者は、すべての顧客にパスワード変更を呼びかけています。その際、「他のアカウントで使用しているパスワードを使用しないよう」と要求するのが常です。
事業者はパスワードをリセットし、利用者にパスワードの再登録を求めれば一応の責任を果たしたことになるのかもしれません。ですが、パスワード再登録を要求ないし強制された利用者は新たな負担を背負わされることになります(図2)。
身も蓋もない言い方をすれば、事業者からみれば「災厄の利用者押し付け」で事態を収拾するのが常道となっているわけです。しかし、覚えられないと判っていることを「覚えろ。覚えろ」としつこく言われ続ける利用者は、たまったものではありません。
覚えられないのに覚えさせられるパスワードの再登録を押し付けられた利用者は、メモや使い回しでしか対処できません。その結果、メモの遺失・窃取やパスワードの使い回し等により、不正アクセス事件を頻発させることになります。ますます脆弱化の進むパスワードをどうするかに対する提案を伴わないパスワードリセットと再登録要求は、問題を拡大再生産するだけです。
結局、安全・安心は遠のき、不正アクセス事件は増えつづけ、サイバー社会は不確実で不安定になる一方です。
会員登録(無料)が必要です
- 1
- 2
- 次へ >