fbpx

「パスワードの使い回しの恐怖」を思い知ろう

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 「隠れた恐ろしさ」を具体的な事件の例と共にご説明します。デジタル終活を契機にデジタル遺品やデジタル遺産の消失にもつながりかねない「パスワードの使い回し」はきっぱり辞めましょう。

誰もが軽い気持ちでやっている「パスワードの使い回し」には致命的なリスクが隠れている

IDやパスワードは流出してしまう前提で覚悟していた方が無難

前回までのおさらいとなりますが、すでに

  • 安易にオンラインサービスを登録したり、使わないで放置したままにすると、IDパスワードといったアカウントの内容が流出するリスクが高まる。
  • 簡単なパスワードや流出したパスワードは闇市場で流通している。
  • 悪意を持ったハッカーは、総当たり攻撃で容易にあなたのアカウントに侵入を試みることができる。万全の対抗策はまだない。

事についてご説明しました。

ここではっきりと申し上げますが、正直申し上げて、アカウントの流出を止めることは、現状不可能です。

攻撃と防御側のいたちごっこはもちろんですが、それ以上にシステムを作るのも、機密を守るのも人間です。
人のやることですから、うっかりミスや、ルールを守らないずさんな作業が起こりがちです。
大事なデータが入ったPCやメモリーを紛失したり、置き忘れることも多発しています。

ブログ内の関連記事(新しいウィンドウで開きます)

通販サイトを狙ったセキュリティ犯罪が続いています。2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ

毎日発生しているセキュリティ事故

下記はセキュリティ事件の発生を毎日知らせてくれるセキュリティ情報サイトのトップページです。
公表されているだけでも、個人情報漏えい事件や事故は「ほぼ毎日」発生していることがお分かりになるでしょう。

ちなみに先に当サイトでご紹介した「メールアドレスの漏えいチェックサイト(当サイト内リンク)」で私のいつも使っているメールアドレスを調べたところ、ひとつのアドレスが数件の漏えい事件の対象になってしまいました。

流出先はPDF開発や画像処理ソフトで有名な、海外の超大手IT企業です。

もう流出は止めようありません!

 

もしもパスワードを使い回していたら「パスワードリスト攻撃のえじきに」

IDはそもそもばれてしまうもの

これまでお話しした内容から、パスワードを使い回していたらどうなるか?お気づきでしょう。

第1の関門として「ID」の存在がありますが、オンラインサービスのIDは、そもそもメールアドレスが使われることが多く、類推は簡単です。

またパスワードと違い、IDは「外からIDがわかってしまうサービス」も多いですし、そもそもパスワードとセットで流出したら隠しようがありません。

パスワードのリスト攻撃~ブログラムを使い、大量のパスワードで次々にログインを繰り返す

攻撃者は手に入れたIDと「複数サイトで使われているパスワードのリスト」リストから総当たりでログインを試みます。これを「パスワードリスト攻撃」と呼びます。入力作業はもちろん手でやるのではなく、ブログラムを使って行います。
今ではBOTと呼ばれる「処理を指定すると自動的に繰り返して行うブログラムを使うこと」が普通です。BOTとはそれほど難しいものではなく、少々のスキルがあれば誰でも実施できます

BOTにとってはリストが何10万件あっても平気で、IDとパスワードの組み合わせを、一秒間に数百~数万回という頻度で、数万~数億回という回数で総当たりで試して「当たりのIDとパスワード」を見つけてしまうのです。

運悪くあなたがたまたま使いまわししたID、パスワードが当たってしまえば、やすやすと侵入を許すことになってしまいます。
一説では、「単語の羅列のリスト」を元にした攻撃に比べ、「流出したパスワードのリスト」攻撃は100倍以上成功率が高いと言われています。

個人情報の流出が起きると、悪意のハッカーたちはリストを作って攻撃を試みます。
あるサイトで成功したパスワードを集めて「より成功率の高いリスト」が作られて、闇市場でアップデートされながら売られ続けています。

この繰り返しで、いろいろなサービスで侵入が発生してしまうのです。

パスワードリスト攻撃の現状

パスワードリスト攻撃はポピュラーな攻撃で、大手企業でも多数の被害例が出ています。
下記のリストを見ると、あまりの事件の多さ、大手と言われる企業が多数被害を受けていることにも驚かされます。

パスワードリスト攻撃は企業を狙ったものだけでありません。

「あなたのことを知る人物が、パスワードリストを手に入れ、好奇心からあなたのアカウントに侵入を試みる」ことすらあります。

しばしば「芸能人、有名人のSNSカウントの乗っ取り事件」が報道されます。多くは「誕生日など推測可能なパスワードをつけていた」ことが原因ですが、流出したパスワードを使ってリスト攻撃で破られたこともあります。

多くのアカウントの不正利用は、残念な事ですが、家族や友人、恋人、身近な人によって引き起こされていることは忘れてはなりません。

 

私も「パスワードを使い回したおかげ」で危ない目にあいました

ずいぶん気をつけてアカウントを管理しているつもりだった私も、2018年秋に「ドコモのdアカウント」を攻撃され、怖い思いをしました。

たまたま事前に二段階認証を設定していたため被害は免れましたが、危ないところでした。

ぜひ以下の体験談もご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか?2018年の秋。愚かにもdアカウントのパスワードを使い回していた私は、不正アクセスされたあげ[…]

まとめ:
パスワードの使い回しをやめて、正しい方法でパスワードを使う方法があります!

「1つのアカウントには固有のパスワードを使う」ことは絶対守るべき原則です。
しかも「すべてのアカウントにもれなく」設定することが必要です。

それをしないと、結局日常のデジタル使用時に大きなトラブルを受ける多能性もありますし、万一の際に大切な方にデジタル遺産やデジタル遺品を残したときに、大きな迷惑と悲しみをかけてしまうことにもつながります。

「そんなこと不可能だろう!」  「でも、自分の身を守るにはするしかないのです」  「じゃあどうしたらいいんだよ?」

デジタル終活を契機に、きちんとデジタルキーピングに対応して、デジタル遺品やデジタル遺産の安全を確保し、日常の安心してデジタル使いできるようにしましょう。

当サイトで「順を追って」ご説明しますが、大切なポイントは

  1. 使い回しをやめる
  2. 強いパスワードをの作り方を知る
    ブログ内の関連記事(新しいウィンドウで開きます)

    いくら安全でも、記憶できないパスワードは使えません。「デジタル終活~デジタル遺産とデジタル遺品の継承のため」覚えることのできる安全なパスワードの設定方法を具体的にご説明します。1 安全なパスワードを整備する現実的な方法があるのか[…]

  3. パスワードマネージャーを使用する
    ブログ内の関連記事(新しいウィンドウで開きます)

    強固なパスワードも生成して保管、いつでも呼び出して確認してくれるパスワードマネージャー(パスワード管理ソフト)は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても、デジタル終活のツールとしても利用できる、まさに必需品で[…]

に尽きると思います。

 

「このブログより役に立って、デジタル終活もできるサービスがあるって?」

Digital Keeperバナーそれは日経新聞やテレビで「独創的でこれから必要」と取り上げられたDigital Keeper®です!
週3回「スマホの安全」「不正ログインを防ぎ方」「OSやアプリのアップデート情報」など、役立つセキュリティ情報が届き、さらに「わかっていてもやってない、スマホやアカウントのデジタル終活」も実現できるオンラインサービスです。

会費は月々わずか167円(年2000円)。1ヶ月無料で試用できます。アフターコロナにそなえ、ぜひご体験下さい。

詳しくはこちら