注意喚起:パスワードという仕組みが崩壊しました

TOP 平成26年度サイバーセキュリティ月間 サイバーセキュリティ ひとこと言いたい! 注意喚起:パスワードという仕組みが崩壊しました

注意喚起:パスワードという仕組みが崩壊しました

2015年2月24日
 

注意喚起:パスワードという仕組みが崩壊しました

 

株式会社シマンテック
テクニカルマーケティングアナリスト
七戸 駿

 

皆様は「パスワード」という言葉の意味を知っていますでしょうか。パスワードとは、「”本人だけが知っている”という前提を確認し認証するための仕組み」を指しています。つまりパスワードは本人だけが知っているワードのはずなので、他の誰かがそれを知っている、もしくは他の誰かに利用されていては情報を守る仕組みではなくなります。現在ある2つの理由から、このパスワードが情報を守る仕組みではなくなり始めたのです。

1つめの理由:5億5千万件のID/パスワードが漏洩している

「本人だけが知っている」ことでセキュリティ効果を持つパスワードは、2013年だけでIDとともに5億5千万件サイバー犯罪者の手に渡りました。人口換算で考えると13人に1人は不正にログインされる可能性があり、世界では1日当たり150万件のIDとパスワードが不正に盗まれている計算です。つまりIDとパスワードはすでにサイバー犯罪によって狙いやすい格好の餌食であり、いつでも不正に窃取される可能性が高まっています。

2つめの理由:盗まれたパスワードはすぐに悪用される

 あるウェブサービスからサイバー犯罪によって不正に窃取されたパスワードは、実は盗み出されたすぐ後に他のウェブサービスのログインに悪用されます。これはITを使う約70%の人が実は「1つ、または3種類程度のパスワードを他のウェブサービスで使いまわしている」という習慣に原因があります。サイバー犯罪者がたとえばウェブサービスAから不正に大量のIDとパスワードを入手すると、その盗み出したIDとパスワードで他のウェブサービスBやCに一斉にログインを行うのです。そうするとご想像の通り、いくつかのウェブサービスにはサイバー犯罪者がログインできてしまうのです。
 
 
 つまり、パスワードは現在「不正に盗まれ、不正に悪用される状況」にあり、「本人だけが知っている」という前提を維持できなくなりました。タイトルにある「パスワードという仕組みが崩壊しました」とはこの状況をさしています。とは言ってもウェブサービスを提供する企業が何も対策を立てていないわけではありません。銀行であれば乱数表や二要素認証、バイオメトリクス認証など「本人だけが知っている」という前提から「本人だけが持っている」や「本人とは切っても切り離せない固有の特徴」などを二要素目のセキュリティ認証の仕組みとして採用が進んでいます。

 セキュリティが変化したということは、それだけサイバー犯罪の被害に合いやすい時代に変化したことを意味します。日常生活でセキュリティは大変面倒かと思います。ですが、身の周りのセキュリティが変わりましたら、どんどん使ってください。きっとそれは皆様をサイバー犯罪から守るための新しい仕組みです。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。