WWW Watch

パスワードの使い回しは危ないよっていうお話

色々な Web サイトやサービスなどでパスワードを使い回していると、万が一の情報漏洩時、被害を拡大させるので避けましょうというお話

最近、不正ログインに関するニュースを目にする機会が多いですね。4月に入ってからだけでもざっと見たところ下記のような感じでニュースが出てきます。

その中で、1つ気になるプレスリリースがありました。

不正アクセスがニュースにもなっていた eBookJapan がその調査結果をまとめたリリースですが、下記のような記述が。

前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。

-つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。

-そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。

不正ログイン被害のご報告とパスワード再設定のお願い : eBookJapan から引用

その下には、具体的な数字まで出して説明してくれていますが、不正ログインが成立してしまったアカウントのうち、アカウントあたりのパスワード試行回数 (つまりある ID と組み合わせてパスワードをとりあえず入れてみて、ログインできるか確認した回数) が、

  • 1回目でログインできてしまったアカウントの数 : 386
  • 2回目でログインできてしまったアカウントの数 : 347

と、たった 2回までのパスワード試行でなりすましログインに成功したのが 733 アカウント (不正アクセスが確認されたのが発表では 779 アカウントらしいので、不正アクセス全体の 94%)もあったと。

さらに、

なお、当社サーバーからログインIDやパスワードが直接漏洩した形跡はございません。

不正ログイン被害のご報告とパスワード再設定のお願い : eBookJapan から引用

ってことなので、じゃあ何でなんでそんなに効率よく不正ログインできちゃったかっていうと、上記リリースにもあるとおり、「他のサイトと同じ ID、パスワードを使い回している人が不正ログインの対象になったから」 なんですね。

パスワードの使い回しはマジ危ない

ということで、この記事のタイトルの通りですし、これは昔から言われていることなので今さらなんですけども。

ところで、アカウント名 (ID) って結構使い回すと思うんですよ。ハンドルネーム的なものを昔から固定で使ってるとか、Web サービスに登録するメールアドレスもサービスごとに変えたりしないし、メールアドレスがそのままアカウント ID になるサービスもよくあると思います。

なので、それはいいんですが、パスワードだけはなるべく別々にしといた方がいいよってことです。

自分が登録しているサービスのうち、どこかのサイトやサーバがクラックされて情報が漏洩する可能性はゼロではありませんし、自分では防ぎようもありません。それでも、「パスワードの使い回しをやめる」 ことで、最悪漏洩した場合でも被害をそのサイト内だけに止め、最小限にするための対策にはなります。

あとは、ID とパスワードが同じとか、「password」 とか 「123456」 みたいなふざけたパスワードじゃなければ (Google とかその辺はセキュリティ的にゆるいパスワードを入れるとチェックでダメっていわれますね) いいと思います。

パスワードを使い回してもいいサイトとダメなサイト

いや、使い回してもいいサイトとかいうと誤解を招きそうですが、使い回して何かあっても被害が元々小さいというかほとんどないサイトなら別にいいんじゃないですかねっていう話です。

例えば個人情報も、クレジットカードや銀行口座のような決済関係の情報もなんにも保存していなくて、人とつながったり、何か投稿したりみたいなサービスでもない、ツール的なサービスとか、その辺だけでパスワードを使い回している分には、たとえそれが漏れたとしても、大した被害はありません。

でも、よく使うオンラインショップの全部でも同じパスワードを使い回していますとかだと、1回、どこかから ID とパスワードが漏洩したら、最悪すべてのオンラインショップで不正にログインされる被害に遭うかもしれませんし、その時は実際に金銭を伴う被害を受ける可能性もあります。

なので、そういう重要なサービスだけはせめてパスワードをすべて個別に設定するなど、漏洩した際の被害想定に応じて自分なりに運用したらいいと思います。

パスワード管理ソフトを使えば楽

やはり全サービスに個別にパスワードを付けて、それを完全に覚えておけばそれが理想なわけですが、全部覚られるわけもない。そんな場合はおとなしくパスワード管理ソフトを使えばいいと思います。

といっても、このパスワード管理ソフトに設定したマスターパスワードだけは気合いで覚えないといけないんですけど。

がそれぞれ個人的なおすすめ。1Password は Mac だけでなく、Windows でも iOS や Android でも使えて、さらにそれぞれのデバイス間でパスワード情報を同期することもできますので、とっても便利。私も長年これを愛用しています。

1Password

ID Manager は Windows 限定ですが、日本のソフトウェアで無料、シンプルでわかりやすいので、Windows だけで使うならおすすめ。Dropbox などと組み合わせれば、複数 PC 上でのデータ同期も可能ですし、標準機能として FTP を使ったデータ同期機能も付いています。

[追記]
より専門的な見地から今回の件を書かれた記事がありましたので、下記に参考リンクとして追記します。

参考リンク

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー