fbpx

「パスワードマネージャー」のようなオンラインサービスは安全か?リスクはないか?

「大切なパスワードをパスワードマネージャーなんかに預けて大丈夫?」「クラウドの保管って危ないのでは?」と不安に思う方も多いと思います。しかしデジタル遺品やデジタル遺産を継承するデジタル終活にはクラウドやツールを効果的に使った方がむしろ安全性は高まります。
現実的に起こりえるリスクを分析して、ツールやクラウドが安心して使っていただける理由をご説明します。

どんなサービスにもリスクはあります。

絶対安全なサービスはありません。

前の記事で、「パスワードマネージャー」は「ユーザーから預かるデータは、ユーザーしか知らないマスターパスワードで暗号化してから預かり、マスターパスワードは預からないので、漏えいリスクはない」と断言しました。またパスワードマネージャーを私がお薦めするデジタル終活の鍵としてご使用をお奨めしています。

しっかりした企業が運営するサービスですから、確立した技術データに基づいて、公表されている内容通りの安全なサービスを実行しているはずです。

しかしどんなサービスも人が作っています。
うっかりミスや虚偽があるか予測できず、「絶対安心」と断言することはとてもできません。

特にネットワーグ上にあり、ネットを通して使うオンラインサービスでは、万一アカウント流出した際は、あっという間に全世界規模で被害が広がってしまうため、潜在的に極めてリスクが高いことは想像できます。
「そんな物は使わないで、自分のパソコンに保管しておこう」
となってしまう考え方も理解できます。

下記のIT media様の記事が普通の方の率直な意見でしょう。

リスクを考えるヒントとなるセキュリティ事故の2例

万全の対策を実施しているはずのオンラインサービスもしばしば「想定外」の漏洩事故を発生させています。

以下2つの実例をご紹介します。

ひとつは「流出によって個人情報がもれてしまった」もの。

もうひとつは「流出はしたものの、リスクはなく被害も無かった」ものです。

「宅ファイル便」の大規模漏洩事故

2019年1月下旬。ファイルの転送サービス「宅ファイル便」での大規模漏えい事件が発覚しました。

「宅ファイル便」メール添付では送れないような大きなファイルを手軽に送れるサービスとして1999年から運営されている老舗サービスです。
運営会社は大阪ガスの関連会社の有名なIT企業であり、長い実績と信頼度が高さをアピールし有料サービスも展開していたため、たくさんの企業や個人が会員になっていました。

ところが外部からの攻撃によって、「氏名、メールアドレス(ログインID兼用)、パスワード、生年月日、性別、職業、居住地、郵便番号、勤務先情報、家族情報」などの個人情報があっけなく500万件近く流出してしまいました。
2019年3月現在、また事故の原因や被害規模など詳細は明らかになっていません。それほど大規模な流出事故です。

今のところ通常は必ず「暗号化されて保存されているはずの個人情報が暗号化していない平文で保管」され、「すでに退会した会員の情報まで削除されることなく同時に流出した」と、普通では考えられないずさんな事故だった分かっています。

私も10年以上前に退会していましたが、被害者になってしまいました。退会ユーザーのデータを廃棄せずに放置していたとは、信じがたいずさんな会社です。

しかも、事件を発生させた同じ会社が続けている「オフィス宅ファイル便」は「別のシステムで安全だ」と今もサービスを続けています。

おそらく対応に追われて考えが回らないのだとは思いますが、類似の名称にもかかわらず、「別のシステムだから安全対策は万全」という宣伝を今も掲載している無神経さは、私にはとうてい理解できません。

ユーザー側が「こういう企業だから、こんな事態もあり得るのだ」と覚悟しておかなければならないのでしょう。

大手パスワードマネージャー「ラストパス(Lastpass)社」の漏えい事故

パスワードマネージャー」の最大手であるラストパス社も2015年6月に漏えい事件を起こしました。

万全な対策をしているはずが、高度な技術を持つハッカーに侵入され、一部のデータを盗まれてしまったのです。
盗まれたデータは、「ユーザーIDを兼ねるメールアドレス」「万一パスワードを忘れたときに使うパスワードリマインダの内容」「ソルト」「認証ハッシュ」です。
ちなみにソルトとは「暗号をさらに複雑化して強化するため付加する値」。ハッシュとは「ユーザーが記入したパスワードが正しいものか整合性を比較するためのデータ」であり、ユーザー独自のデータは流出していません

それでも「理論上は膨大な時間とパワーを使って解析すれば、比較的簡単なマスターパスワードならば推定される可能性は0ではない」ので、「簡単なマスターパスワードを使っているユーザーは、念のため変更して欲しい」とアナウンスされました。

 

各サービスの「重要情報の保管方法」について見極めよう

オンラインサービスの重要データの保管方法を図にしてみました

2つの事例から、一言で流出事故も原因によってずいぶん違うことがおわかりいただけるでしょう。

もう少しわかりやすくするため、細かいことは省いて、ざっくりパスワード他の機密データを、オンラインサービスがどのように扱っているかを、
【1.安全なサービス】
【2.普通のサービス】
【3.危険なサービス】
の3つのパターンに分けて図にしてみました

オンラインサービスのデータ保管方法(超簡略版)

「宅ファイル便」の事例は【3.危険なサービス】の最悪例です

現在では重要な個人情報を扱うサービスにおいて、社会的責任を果たす信頼されるべき企業が顧客の重要データを暗号化せずに平文(そのまま読める形式)として保管することは考えられません

しかし宅ファイル便は20年前にできたサービスです。確かに一昔前、個人情報保護の意識が少なく、暗号化しないでデータを保管することは普通だった時代もありました。
しかし現在ではまともな企業のサービスではあり得ません。古くからサービスだったが故の欠陥だったのでしょう。

古いシステムで改造するのには大変な手間やコストがかかるため、危険を知りながら先送りにしていたのだろうとは推測できますが、有料サービスも運営していたわけで、決して許されることではありません。

更に「退会済みの会員データもそのままにしていた」というずさんな管理方法も明らかとなり、システムの不備とヒューマンエラーが組み合わさった、かなりひどい例です。

厳しい社会的責任を追及されるべきだと思います。

しかし現実には、このような運営を行っているサービスは、かなりたくさんあります。ユーザーがきちんとサービス側の信頼性を見極めてサービスを選択するしかありません。

 

「ラストパス(Lastpass)社」の漏えいは1.安全なサービス】なので実害はありません

ラストパス社は、ユーザーだけが知っているマスターパスワードを鍵にして、データがユーザーの手元にある時に暗号化してしまいます。ラストパス社がユーザーから預かるのは暗号化後のデータだけで、鍵は預かりませんから、仮にデータが流出しても安全です。
「どのサービスもこうなったら良いのに」
とお思いでしょうが、それではユーザーの利便性が著しく損なわれます。

どなたも「パスワードが分からなくなった」とサービスに問い合わせたり、再設定した記憶がお有りでしょう。【1.安全にサービス】のようなレベルは「パスワードマネージャー」のように特別強固な安全性が求められるサービス以外には、なかなか使えないのも現状です。

 

世の中のほとんどのサービスは「2.普通のサービス」です。だから使い回しはダメなのです

一般的に、普通のサービスは、ユーザーの利便性やカスタマーサポートの観点から、暗号化はサービス内で行っています
したがって暗号化の鍵もサービス自体が持っています。
もちろん鍵は厳重に保管されていますが、それでも凄腕のハッカーに攻撃され、時々流出してしまうことがあります。

また、いかにデータや鍵が厳重に保管されても、社員や関係者による内部犯行は防ぎようがありません

以前ご説明したとおり、残念ながら「普通のサービス」からは情報流出を防ぐことはできません。いったん流出したパスワードは闇のマーケットで流通し、攻撃に使われます。
ユーザーとして自分を守るには、できるだけ信頼できるサービスをつかい、パスワードの使い回しは絶対にしないことを徹底するしかありません。

関連記事

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか? 2018年の秋。愚かにもdアカウントのパスワードを使い回していたデジタルキーパー株式会社の代[…]

 

リスクは冷静に分析して現実的に判断しましょう

 感情的に「絶対安全」をもとめず「バランスの良い安心でOK」としましょう

これまでの説明で、ラストパスのような「パスワードマネージャー」は「かなり安全なサービス」であることはご理解いただけたと思います。
しかし「絶対安全」ではありません。ラストバス自身も「漏えいデータは、例え暗号化してあったとしても、長時間手間をかけて解析すれば、元のデータにたどり着く可能性が理論上絶対ないとは言えない」と明言しています。
そこで「暗号鍵となるマスターパスワードを長いものにしておけば安心」と言っています。

あなたは、これらのサービス側の表明や過去の実績から判断して、安全性と利便性、コスト、手間などのバランスが取れるところで、安全と判断することこそ賢明なことだと思います。いたずらに感情的に心配してもキリがありません。

あなたはなにか国家機密を扱っているわけではないですよね?

万一の流出を恐れるあまり
記憶できる安易なパスワードを使ったり、いつ壊れたり盗難にあったりするか予測すできない自分のPCやスマホにパスワードを記録したりすることのリスク」と、
「パスワード管理アプリを使ったためにこうむるかもしれないリスク」
とどちらが高いでしょうか? リスクの発生確率はあまりに大きく、比較になりません。

あなたのパスワードが「一国の運命を左右するような超重大機密」でもない限り、答えは明らかだと思います。

できるだけリスクが少なそうなサービスやアプリを選びましょう

一昔前より、ITサービスやアプリを提供する企業には厳しい目が向けられ、各企業は会社の存続をかけてセキュリティー管理に気をつけています。きちんとした起業はルール通りに正しい方法でサービスを運営しているはずですが、過去には大手と言われるサービスでもずさんな事件を引き起こしたことも事実です。

リスクを最小化するためにも、ユーザーが多く、定評あるサービス・アプリを選択しましょう。無料の良く実態がわからないサービスには手を出さないことが大切です。

関連記事

「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャーなどアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ大人のための2つの真理」[…]

デジタル終活のためにアプリやサービスを使いたいが、いろんなサービスがありすぎで選択に迷ってしまう

まとめ:
最小限のリスクは許容して、現実的に大切な物を守りましょう

「どうしてもイヤ」と言われると、もう各自の思想や哲学の問題となります。

飛行機で死亡事故に遭遇する確率は0.0009%=10万分の1未満といわれますが、それでも「飛行機が落っこちるのが怖いから、遠くへ旅行はしない」という人もします。
そんな人が「1年間で事故を起こす可能性が0.8%ある自家用車を運転している」のは大いなる矛盾と思います。

飛行機事故や自動車事故に比べるまでもなく、「パスワードマネージャー」の利用してアカウントを管理するようになれば、二段階認証の設定やパスワードの使い回しをしないといったルールを順守する前提で、「限りなくリスク0」に近いデジタル活用ができるようになると断言できます。

そろそろ「外部やクラウドのサービスに預けるのは危ない」というような感情的な考え方は捨てて、現実的に最善な方法でデジタル遺産やデジタル遺品を守り、「デジタル終活~デジタル遺産とデジタル遺品の確実な継承」を実現しましょう。

 

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

 

プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG