コロナ禍で、オンラインサービスの利用が増加しています。在宅勤務で、自宅パソコンから仕事関係の大切な情報にアクセスすることも増えているでしょう。そんな時に欠かせないIDとパスワードですが、不正アクセス事件が発覚するたびに、「同じパスワードを複数サイトで使いまわすのは危険」と注意喚起がされます。なぜ使いまわしは危険なのか、パスワードはどう管理すればいいのか、セキュリティの専門家、辻伸弘さんに聞きました。
漏れていること前提で考えるべし
あなたのIDとパスワードは、おそらく漏れています。個人で、自分のIDとパスワードの漏洩を防ぐことは無理なんです。既に漏洩していることを前提に対策をした方がいいでしょう。
毎日のように、ネットサービスの不正利用のニュースが伝えられますが、僕は、それを聞いてもそれほど不安にはなりません。同じパスワードを使いまわしていないからです。もし使いまわしていたら、もうドキドキが止まらないでしょうね。同じパスワードを使っているサイトでは、今すぐにでも被害に遭う可能性がある、もしくは既に被害に遭っているかもしれないのですから。
漏洩したIDとパスワードは、あなたの知らないところで売買されています。そして第三者によって、通販サイトやアプリのログインに使われてしまう。でも、もしサービスごとに異なるパスワードを設定していれば、Aというサイトから漏洩したIDとパスワードを使ってBというサイトに不正アクセスしようとしてもできません。被害は防げるわけです。
パスワード、何個持っていますか?
最近はようやく、「パスワードの使いまわしは危険」ということが知られるようになってきました。それでも、ヤフーが9月に発表した調査結果によると61%が、トレンドマイクロが同月発表した調査では85.7%が、同じパスワードを使いまわしていると答えています。
僕は、誰かにパスワード管理について相談されたりすると、「パスワードは何個ぐらい持っていますか?」と聞くんですが、「7個」や「10個」など、実際よりも少なめに答える人が多い。でも、ネットショップ、ニュースサイト、SNS……と数えてみると、20個は優に超える人が大半です。どこに何を登録しているかわからないこともたくさんあります。「よくない」と知りつつ、たくさんあって覚えきれないから、つい同じパスワードを使いまわしてしまうんですね。
今は、買い物や行政サービスまで、何でもかんでもネットでできてしまいます。ネットで生活が便利になるにつれ、1人が使うIDとパスワードの数が膨大に増えました。こうした状況と、IDとパスワードの大量流出が重なり、2013年ごろからパスワードを使いまわしているユーザーを狙った攻撃が増えてきました。
自分のメールアドレスやパスワードが流出していないか気になる方は、英語のサイトですが「Have I Been Pwned」(「私、やられちゃってる?」といった意味)というサイトに、自分のメールアドレスを入力してみると、過去に漏洩事件で流出したメールアドレスのリストに含まれているかを教えてくれます。「Oh no-pwned!」だと、流出していることを示します。「Good news-no pwnage found!」だと、リストに含まれていないことがわかります。ただ、このサイトが把握しているリストに含まれていないだけなので、ほかで流出している可能性はあります。したがって、あくまでも目安として見るようにしてください。
