メディア

パスワードは定期的に変更すべきかセキュリティ強化塾(2/4 ページ)

» 2018年08月21日 10時00分 公開
[キーマンズネット]

パスワードは「漏えいしている」前提で考える

 まずは下記のメールを見てほしい。これは筆者に届いた、あるスパムメールの文面だ。注目すべきはその件名だ。何と筆者のIDとともにパスワードそのものが記載されていた。

パスワードが記載されたスパムメール 図2 パスワードが記載されたスパムメール

 メールの送信者は「お前のID(≒メールアドレス)とパスワードを知っている。既にお前のPCを遠隔操作できる状態だ。これらの情報をばらまかれたくなければ7000ドル相当のビットコインを指定したアドレスに振り込め」と脅迫する。

 筆者はこの脅迫メールを文字通り受け取るつもりはなかった。なぜならば、このIDとパスワードの組み合わせは「とっくに漏えいしている」ことを知っていたからだ。

 実は、このパスワードは12のサービスから漏えいした。その中には大きく報道された、アドビやDropbox、linkedin、tumblrなどの著名なサービスが含まれる。要するに筆者もパスワードを使い回していたのだ。それが1つならず、12ものサービスから漏えいした結果、犯罪者の間で筆者のパスワードそのものが出回っているという現状だ。

 もしも「自分のパスワードがどうなっているか」が心配になってきた人がいれば、セキュリティ研究家のトロイ・ハント氏が管理する「have i been pwned?」(私のパスワードは奪われている?)が役に立つかもしれない。

 このチェッカーにメールアドレスを入力すると、パスワードをはじめとする個人情報がどのサービスから漏えいしたかが分かる。本稿執筆時点(2018年8月)で、パスワードが漏えいしたメールアドレスが約53億件も収集されている。もはやパスワードはどこかから漏えいされたという前提で考えるべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。