情報漏えいというと、映画のようなハッカーの侵入や、大企業への大規模攻撃を思い浮かべる方が多いかもしれません。しかし実際には、もっと地味で、もっと身近なところから起きています。
今回は、その中でも特に多い原因のひとつである「パスワードの使い回し」に絞ってお話しします。
「え、それだけ?」と思われるかもしれません。しかし、この「それだけ」が、驚くほど多くの被害を生んでいるのです。
パスワードの使い回しとは何か
パスワードの使い回しとは、複数のサービスで同じIDとパスワードの組み合わせを使うことです。たとえば、以下のようなサービスすべてで同じパスワードを設定している状態を指します。
- ネット通販
- フリーメール
- SNS
- クラウドサービス
- 社内システム
気持ちはよくわかります。覚えるのは大変ですし、毎回違うものを考えるのも面倒です。「自分は大した人間じゃないから狙われないだろう」と思ってしまうこともあるでしょう。
ですが、攻撃者は「あなた個人」を狙っているわけではありません。「使い回している人(=セキュリティの甘い扉)」を機械的に探しているのです。
どうやって漏えいが広がるのか(パスワードリスト攻撃)
では、具体的にどのように被害が広がるのでしょうか。ここで、専門用語で「パスワードリスト攻撃(アカウントリスト攻撃)」と呼ばれる手法の典型例を見てみましょう。
ある企業での出来事(Aさんのケース)
- 社員Aさんは、「個人用のネットショップ」と「会社のメールアカウント」で、同じパスワードを使っていました。
- ある日、そのネットショップが攻撃を受け、IDとパスワードの情報が外部に流出します。(Aさんは気がついていません)
- 数週間後、攻撃者は流出したIDとパスワードのリストを使い、自動プログラムでさまざまなサービスへログインを試みます。
- その結果、Aさんの会社メールにも同じパスワードでログインが成功してしまいました。
結果として、以下のような被害が発生しました。
- 社内メールの内容が盗み見られる
- 取引先情報が流出する
- なりすましメールが送られる
- 社内システムへの侵入口にされる
発端は「会社とは全く関係ないネットショップ」だったのです。
攻撃者は「手作業」ではない
ここで大切なのは、攻撃は手作業ではないという点です。攻撃者は自動化されたツールを使い、何万件、何十万件というログインを一気に試します。私たちが「そんな偶然あるわけない」と思っている間に、コンピュータはものの数分で試行を終えます。
しかも最近は、流出したデータ(IDやパスワードだけではなく、氏名や電話番号などの個人情報を含む)をまとめて販売する闇市場や、過去の流出情報を集約したデータベースも存在します。「昔どこかで登録して、もう使っていないサイト」がきっかけになる可能性も十分にあるのです。
なぜ使い回しは危険なのか
パスワードを使い回すということは、「家の鍵、車の鍵、金庫の鍵をすべて同じにする」ことと同じです。もし一つ落としたら、全部が開いてしまいます。
デジタルの世界では、コピーが一瞬で行われます。家の鍵なら「あれ、ないぞ」と気づきますが、データは静かにコピーされるため、何も壊れず、何も音がしません。被害が出て初めて気づくケースがほとんどなのです。
「自分は大丈夫」と思ってしまう心理
多くの方が「今まで問題なかったから大丈夫です」と言います。ですが、それは「今まで事故に遭っていないからシートベルトはいらない」と言っているのと似ています。事故は頻繁には起きませんが、起きたときの被害は甚大です。
では、どうすればよいのか
対策はシンプルですが、人間の記憶力に頼るには限界があります。以下の3つを実践してください。
- パスワード管理アプリを使う(推奨)
「全部覚えられない」のは当然です。1Password、Bitwarden、ブラウザ標準の管理機能などを使い、人間は「マスターパスワード」1つだけを覚え、あとはツールに任せましょう。 - 多要素認証(MFA/2FA)を設定する
パスワードに加えて、スマホへの通知やコード入力を必須にする設定です。これがあれば、万が一パスワードが漏れても、最後の砦として侵入を防げます。 - 長く、推測されにくい文字列にする
サービスごとに異なる、意味のない文字列(英数記号混在)が理想です。現在では12文字以上が推奨です。重要なシステムには15文字以上が望ましいです。
紙に付箋で貼ってモニターにベタベタ貼る方法は……おすすめしません。掃除のときに全部見えてしまいますし、紛失のリスクもあります。
まとめ
情報漏えいは、特別な技術や大規模な攻撃だけで起きるわけではありません。日常の小さな習慣――パスワードの使い回し――から始まることが非常に多いのです。
一つのサービスの流出が、芋づる式に他のサービスへと広がる。それが現在の情報漏えいの典型的な姿です。だからこそ、「自分の習慣を見直す」ことが、もっとも効果的な防御になります。
今日このあと、ぜひ一つだけでも主要なパスワードを見直してみてください。それが、未来の自分への小さな、しかし確実な保険になります。
自社のHPは侵入されないだろうか。不安な方はぜひ当事務所のセキュリティ診断をご検討ください。攻撃者と同等の方法で貴社のHPを診断いたします。
ミタスサポート事務所代表。富山県で中小企業向けに経営とIT支援を行っています。
中小企業診断士/ITストラテジスト/情報処理安全確保支援士。
確かな知識と実務経験を元に、役立つ情報を随時発信中。
小さな事業者向けに小回りの利くITサービスやサイバーセキュリティ対策に力を注いでいます。
