検索
連載

パスワードは定期的に変更すべきかセキュリティ強化塾(2/4 ページ)

これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

パスワードは「漏えいしている」前提で考える

 まずは下記のメールを見てほしい。これは筆者に届いた、あるスパムメールの文面だ。注目すべきはその件名だ。何と筆者のIDとともにパスワードそのものが記載されていた。

パスワードが記載されたスパムメール
図2 パスワードが記載されたスパムメール

 メールの送信者は「お前のID(≒メールアドレス)とパスワードを知っている。既にお前のPCを遠隔操作できる状態だ。これらの情報をばらまかれたくなければ7000ドル相当のビットコインを指定したアドレスに振り込め」と脅迫する。

 筆者はこの脅迫メールを文字通り受け取るつもりはなかった。なぜならば、このIDとパスワードの組み合わせは「とっくに漏えいしている」ことを知っていたからだ。

 実は、このパスワードは12のサービスから漏えいした。その中には大きく報道された、アドビやDropbox、linkedin、tumblrなどの著名なサービスが含まれる。要するに筆者もパスワードを使い回していたのだ。それが1つならず、12ものサービスから漏えいした結果、犯罪者の間で筆者のパスワードそのものが出回っているという現状だ。

 もしも「自分のパスワードがどうなっているか」が心配になってきた人がいれば、セキュリティ研究家のトロイ・ハント氏が管理する「have i been pwned?」(私のパスワードは奪われている?)が役に立つかもしれない。

 このチェッカーにメールアドレスを入力すると、パスワードをはじめとする個人情報がどのサービスから漏えいしたかが分かる。本稿執筆時点(2018年8月)で、パスワードが漏えいしたメールアドレスが約53億件も収集されている。もはやパスワードはどこかから漏えいされたという前提で考えるべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る