パスワードは定期的に変更すべきか：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

パスワードは「漏えいしている」前提で考える

　まずは下記のメールを見てほしい。これは筆者に届いた、あるスパムメールの文面だ。注目すべきはその件名だ。何と筆者のIDとともにパスワードそのものが記載されていた。

図2　パスワードが記載されたスパムメール

　メールの送信者は「お前のID（≒メールアドレス）とパスワードを知っている。既にお前のPCを遠隔操作できる状態だ。これらの情報をばらまかれたくなければ7000ドル相当のビットコインを指定したアドレスに振り込め」と脅迫する。

　筆者はこの脅迫メールを文字通り受け取るつもりはなかった。なぜならば、このIDとパスワードの組み合わせは「とっくに漏えいしている」ことを知っていたからだ。

　実は、このパスワードは12のサービスから漏えいした。その中には大きく報道された、アドビやDropbox、linkedin、tumblrなどの著名なサービスが含まれる。要するに筆者もパスワードを使い回していたのだ。それが1つならず、12ものサービスから漏えいした結果、犯罪者の間で筆者のパスワードそのものが出回っているという現状だ。

　もしも「自分のパスワードがどうなっているか」が心配になってきた人がいれば、セキュリティ研究家のトロイ・ハント氏が管理する「have i been pwned？」（私のパスワードは奪われている？）が役に立つかもしれない。

　このチェッカーにメールアドレスを入力すると、パスワードをはじめとする個人情報がどのサービスから漏えいしたかが分かる。本稿執筆時点（2018年8月）で、パスワードが漏えいしたメールアドレスが約53億件も収集されている。もはやパスワードはどこかから漏えいされたという前提で考えるべきだろう。