不正ログインの二次災害が起きてしまったようです。自分なりのパスワード管理を考えよう。

2013年5月、Yahoo! JAPANにおいて、約2億の会員の１０％強にあたる2200万件アカウント情報が流出した事件が起きた。会員数の規模でいったら国内最大級の流出事件になり、記憶に残っている人も多いと思うが、流出の原因になったのは、不正ログイン攻撃だった。

様々な便利なＷＥＢサービスが立ち上がる、昨今、逆に不便になるのは、そのＷＥＢサービスごとのアカウントとパスワードの管理です。パスワード管理がめんどくさくて、同じアカウント名に同じパスワードのペアを使っている人は多くいると思います。

不正ログインの恐怖は、そのような同アカウントに同パスワードを利用したユーザーに襲い掛かってくるのです。それも、二次災害という形になって。

起きてしまった二次災害

不正アクセスの二次災害とは、とあるＷＥＢサービスが不正ログインされ、アカウントとパスワードのペア群が流出したとします。それが一次災害。二次災害は、多くの人が同じアカウントとパスワードを再利用していることを突き、別のＷＥＢサービスで、一次災害で取得したアカウントとパスワードを使って不正アクセスをすることです。

この場合の不正ログインは、ブルートフォースアタックや辞書攻撃よりもはるかに高い成功率で成功するでしょう。

幸いにも、というか、それが正常なＷＥＢサービスのパスワード管理の義務だとは思うが、Yahooのパスワードには不可逆暗号化されたパスワードになっていたために、Yahooの流出事件からの２次災害の発生はないように思います。

しかし、Yahooではないでしょうが、どこか別のＷＥＢサービスのアカウント流出が原因により、二次的な不正ログインが行われてしまった事例が発生しています。

クラブニンテンドーの不正ログイン

任天堂株式会社が運営する会員サイト「クラブニンテンドー」が、他社サービスから流出したと思われるIDとパスワードを使用して不正ログインが行われ、23,926件のアカウントが流出しています。

この不正ログインにより、「名前・住所・電話番号・メールアドレス」という重要な個人情報が流出した恐れがあるということです。

任天堂ホームページ：お客様へのお知らせ

コナミの会員制サイトの不正ログイン

ほぼ同じタイミングで、コナミデジタルエンタテインメントが運営する会員制サイト「KONAMI IDポータルサイト」においても、他社から流出したと思われるアカウントとパスワードで不正ログインがされています。

こちらの方も、35,252件の不正ログインが行われ、流出したと思われる情報は、「氏名、住所、生年月日、性別、電話番号、メールアドレス」という重要な個人情報が流出しているようです。

「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い

このような不正ログインは増えるかもしれません。次はあなたが管理しているサイトかも？

自分なりのパスワード管理を確立しよう

あなたは普段、どのようにパスワードを管理しているでしょうか？おそらく、これからもパスワードを登録する機会は多くあるでしょうが、同じパスワードを使い回すのは、そろそろ卒業する時なのかもしれません。

ソーシャルログインを利用する

会員登録が必要なWEBサービスを利用する際、通常の会員登録と並んで、twitterやfacebookなどのソーシャルログインボタンを多くのサイトで見かけるようになりました。少し前にはgoogle+もソーシャルログインを導入を開始しましたが、通常の会員登録ではなく、積極的にこのようなソーシャルログインを利用するのも手でしょう。

facebookやgoogleなどは２段階認証などを積極的に取り入れていますので、不正ログインにおいて簡単には牙城は崩されないでしょう。

これらのソーシャルログインを利用すれば、外部からの不正ログインは防げるかもしれませんが、一方で、自分自身が不正扱いされる恐れがあります。

というのは、twitterは最近ますます凍結事例が頻出し、facebookはなりすましによるアカウントの乗っ取り、googleはインスタントアップロード機能の自動アップロードのせいで、アカウント削除などのリスクがあり、ソーシャルログインで管理していたサイトが一括でログインできなくなる、とんでもない事が起こる可能性をはらんでいます。

パスワード管理ツールを利用する

たとえば、LastPassに代表されるような、パスワード管理ツールを使うのも手です。このようなツールを使えば、あなたが覚えるパスワードはひとつだけで、あとはツールがすべてを代行してくれます。

この手のツールの場合は、その開発元の会社が倒産してしまったり、サポートをやめてしまった場合が厄介になりますが、開発元が信頼できる会社なら、このようなツールを積極的に使ってもいいと思います。

パスワード組み合わせポリシーを自分の中に作る

やっぱり信頼できるのは、自分自身でしょうか？

昔ながらに、エクセルにwebサービスとアカウントやパスワードを管理しますか？あなたのパソコンが壊れるリスクは、他の管理方法よりもかなり高いでしょう。お勧めしません。

それでは、そのエクセルをdropboxのプライベート領域で管理しますか？そのような新旧の共演は賛否両論かもしれませんが、毎回ログインのためにエクセルを開く手間にウンザリしているあなたの姿が見えます。

それでは、やはり自分の中に頑強なパスワードポリシーを築きますか？

例えば、「Webサービスのパスワードを忘れないようにする２つの方法」のように、ＷＥＢサービスの名前の一部をパスワードに組み込みますか？（※この場合はＷＥＢサービスが途中で名前変更したら、大変そうだけど）

あるいは、「決めた数字に語呂合わせ」のように、WEBサービスから変換した数字の列をパスワードにしますか？

または、「安全で覚えやすいパスワードを簡単に作る方法」にあるように、パスワードそのものではなく、、パターン（法則性）を覚えることに注力しますか？

Naverまとめにも方法がいろいろ載っていますが、そのような自分の中のノウハウは、ひょっとしたら最強かもしれません。もちろん、自分が健全な限りはですが。もし、そのような自分なりのノウハウを持っているなら、僕に教えてくれませんか？

最後に、

WEBサービスにおけるパスワード管理の知識も覚えておいた方がいいかもしれません。まともなWEBサービスでは、パスワードは暗号化されて保存されます。このパスワードは仮に流出したとしても復号できない仕組みになっています。

逆に、例えばパスワードを忘れてしまった場合、あなたはＷＥＢサービスに問い合わせをすることになると思いますが、その際に忘れたパスワードをメールなんかで送付してきた場合は要注意です。その手のＷＥＢサービスはパスワードを暗号化して保存していない証拠です。

パスワードをあなたの手に中に取り戻そう！