パスワードは「漏えいしている」前提で考える
まずは下記のメールを見てほしい。これは筆者に届いた、あるスパムメールの文面だ。注目すべきはその件名だ。何と筆者のIDとともにパスワードそのものが記載されていた。
メールの送信者は「お前のID(≒メールアドレス)とパスワードを知っている。既にお前のPCを遠隔操作できる状態だ。これらの情報をばらまかれたくなければ7000ドル相当のビットコインを指定したアドレスに振り込め」と脅迫する。
筆者はこの脅迫メールを文字通り受け取るつもりはなかった。なぜならば、このIDとパスワードの組み合わせは「とっくに漏えいしている」ことを知っていたからだ。
実は、このパスワードは12のサービスから漏えいした。その中には大きく報道された、アドビやDropbox、linkedin、tumblrなどの著名なサービスが含まれる。要するに筆者もパスワードを使い回していたのだ。それが1つならず、12ものサービスから漏えいした結果、犯罪者の間で筆者のパスワードそのものが出回っているという現状だ。
もしも「自分のパスワードがどうなっているか」が心配になってきた人がいれば、セキュリティ研究家のトロイ・ハント氏が管理する「have i been pwned?」(私のパスワードは奪われている?)が役に立つかもしれない。
このチェッカーにメールアドレスを入力すると、パスワードをはじめとする個人情報がどのサービスから漏えいしたかが分かる。本稿執筆時点(2018年8月)で、パスワードが漏えいしたメールアドレスが約53億件も収集されている。もはやパスワードはどこかから漏えいされたという前提で考えるべきだろう。
Copyright © ITmedia, Inc. All Rights Reserved.