最近は数多くのインターネットサービスが提供されており、ユーザーはサービスごとに、IDやパスワードといったアカウントの設定・登録・管理をしなければなりません。
独立行政法人情報処理推進機構(IPA)が2017年12月14日に発表した「2017年度情報セキュリティに対する意識調査」報告書によれば、2種類以上のアカウントを自分で管理しているユーザーは、5,000人中70.3%に達しています。
このうち、サービスごとに異なるパスワードを設定している割合は、全体で37.9%に過ぎません。特にパソコン入門・初心者(習熟度レベル1)のユーザーが24.1%、年代別では10代が30.3%、と低い結果です。
逆にいえば、全体で62.1%のユーザーが同一のパスワードを使用しており、依然としてパスワードの使い回しが多い、という実態が明らかになりました。
トレンドマイクロ株式会社による2017年10月5日の発表によれば、ID、パスワードを使いまわす理由のトップは「異なるパスワードを設定すると忘れてしまう」で69.7%、次いで「異なるパスワードを考えるのが面倒」45.3%で、パスワードの管理が大きな課題です。
しかし、パスワードの使い回しは、大変危険な事態を招く恐れがあります。
多くのWebサービスサイトは、世界中からサイバー攻撃にさらされており、サーバーやアプリの脆弱性攻撃、ウイルス感染などにより個人情報が漏えいし、不正アクセスの原因になることがあります。
Webサービスでパスワードを使い回していると、1か所のサービスでアカウント情報が漏えいした場合、パスワードリスト攻撃やパスワード推測攻撃により、他の複数のサービスに不正ログインされ、なりすまし被害が拡大する恐れがあります。
インターネットバンキングの場合は不正送金による金銭被害、ショッピングサイトの場合は氏名、住所、電話番号、クレジットカード暗証番号の窃取、不正購買、ポイントの盗用、オンラインゲームの場合は料金の支払いやアイテムの窃取、などのリスクが高まります。
パスワードの使い回しを原因とする被害は数多くありますが、最近の事例をいくつか説明します。
1.「myTOKYOGAS」への不正アクセスとポイント不正使用
東京ガス株式会社のガス・電気料金情報WEB照会サービスサイト「myTOKYOGAS」に対し、2017年8月31日に続き、9月11日以降にもパスワードリスト攻撃が行われました。
東京ガスは9月22日、不正アクセスにより106件の顧客情報が流出し、その内24件合計38,000円相当の不正ポイント使用が判明した、と発表しました。
東京ガスは、他社のポイント交換停止、顧客106件のアカウント一旦停止の措置を講じました。また、全ユーザーに対し、再度ログインパスワードの変更を依頼しています。
2.ビデオリサーチオープンカフェのアンケート協力ポイント不正使用
ビデオリサーチ株式会社が運営するコミュニティサイト「ビデオリサーチOpen Cafe」が、2017年5月パスワードリスト攻撃にさらされ、アンケート協力ポイントが不正使用されたため、サイトの一部機能を停止しました。
被害規模は未公開ですが、不正使用が確認されたユーザーへは、個別対応したとのことです。
ビデオリサーチは、7月初旬までの2か月弱、一部機能停止に追い込まれました、
3.Amebaへの不正ログイン
株式会社サイバーエージェントが運営する有名なブログサイト「Ameba」が、2016年11月25日から断続的にパスワードリスト攻撃を受けました。
2016年11月25日(金)22時35分から2016年11月28日(月)2時22分までの間に、不正ログイン試行回数約3,700万回、不正ログインされたアカウント数約59万件に上りました。ただし、改ざんの事実は確認されなかった、とのことです。
サイバーエージェントは、不正ログインを受けたログインIDについて、パスワードをリセットしユーザーに連絡した、とのことです。
また、今後このような事態を防ぐため、他社サービスと同じパスワードを設定しないよう、ユーザーにお願いしています。
パスワードを強化するためには、英字・数字・記号などの組み合わせ、長さは8文字以上、単純な単語・氏名・誕生日・SNSで公開している言葉を避ける、などの工夫が必要です。
ただし、あまり複雑だと忘れてしまいますので、自分の趣味や興味の中から覚えやすい単語をコアパスワードにして、大文字小文字・数字・記号を混在させ、利用するサービスごとに、先頭や末尾に英字、数字、記号を付加し、12文字以上にすることがお勧めです。
パスワードは、専用管理ソフトの利用や、コアパスワードは記憶しておいてサービスごとに異なる部分を紙や電子ファイルとして保管しておけば、安全で容易に管理できます。
また、最近のWebサイトでは、ワンタイムパスワードや電話番号など多要素認証、シングルサインオン(SSO)、前回のアクセス履歴の表示などを導入している場合がありますので、大いに活用しましょう。サービス利用を止めた場合は、退会手続きを、忘れないで確実に行います。
シングルサインオンは、1回のID・パスワード入力で、複数のサービスが利用可能になる機能です。多要素認証と組み合わせることで、ユーザーは安全で利便性の高いネットライフを楽しむことができます。