fbpx

「パスワード管理ツール」はどうして安全なのか? 安心して使えるオンラインサービスの仕組みを知ろう

「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。
現実的に起こりえるリスクを分析して、パスワード管理ツールのようなオンラインサービスが安心して使える理由をご説明します。
/ins>

オンラインサービスのリスクを冷静に判断しよう

「パスワード管理は自分でやった方が安全」は本当か?

どんなサービスも人が作っている以上、うっかりミスやサイバー攻撃、従業員の犯罪などアクシデントがある可能性は否定できません。

特にネットワーグ上にあり、ネットを通して使うオンラインサービスでは、万一アカウント流出した際は、あっという間に全世界規模で被害が広がってしまうため、潜在的に極めてリスクが高いのは事実です。

「そんな物は使わないで、自分のパソコンに保管するのが安全」
という考え方も理解できます。

下記のIT media様の「パスワードマネージャーの導入を家族に反対された」という記事が普通の方の率直な意見でしょう。

しかしパスワードは今では「最低でも12文字以上は必要」と言われています。また「パスワードの使い回しは最悪の行為です。
だからと言ってパスワードを、紙に書いたり、スマホに保管するは、どう考えても危険です。

今やデジタル抜きでは社会は成り立たず、金融から医療までデジタルは幅広く使われています。
日本政府も「デジタル世負」に大きく舵を切りました。

パスワードのような「本人認証」は、あらゆるところで必要となるため、新しい管理方法や認証方式も続々出てきて進歩しています。

「危なそうだ」という感情的な判断で「使わない」判断するのはあまりに残念ですので、わかりやすくパスワード管理ツールのような重要情報を扱うオンラインサービスの安全性をご説明したいと思います。

まずは2つの対照的なセキュリティ事故から「安全とは何か?」を考えましょう。

2つのセキュリティ事故の例からオンラインサービスの安全性を考える

万全の対策を実施しているはずのオンラインサービスもしばしば「想定外」の漏洩事故を発生させています。

対照的な2つのセキュリティ事件を通して、「デジタルの安全とは何か?」をご説明します。

  1. 「ミスによる流出によって個人情報がもれ大きな被害が発生した事件」
  2. 「不正侵入によって情報流出はあったが、何の被害も無かった事件」

1.個人情報が大量に流出した「宅ファイル便」の大規模漏洩事故

2019年1月下旬。ファイルの転送サービス「宅ファイル便」での大規模漏えい事件が発覚しました。

「宅ファイル便」メール添付では送れない大きなファイルを手軽に送れるサービスとして1999年から運営されている老舗サービスです。

運営会社は大阪ガスの関連会社のIT企業であり、長い実績と信頼度が高さをアピールし「無料」で使えたため、たくさんの企業や個人が会員になっていました。

ところが外部からの攻撃によって、「氏名、メールアドレス(ログインID兼用)、パスワード、生年月日、性別、職業、居住地、郵便番号、勤務先情報、家族情報」などの個人情報があっけなく500万件近く流出してしまいました。

事故の原因や被害規模など詳細はうやむやで、明らかになっていません。補償もされません。

今のところ通常は必ず「暗号化されて外では解読できなように保存されているはずの個人情報が暗号化されておらず誰でも読める状態だった」とされ、「すでに退会した会員の情報も削除されず、同時に流出した」と、とんでもないずさん事故だった分かっています。

これで分かることは、「しっかりした大手の会社でも、裏ではいい加減な運営をしていることもある」「無料のサービスでは責任を取ろうともしない」とう事実です。

ユーザー側が「こんな事態もあり得るのだ」と覚悟しておかなければならないのでしょう。

2.大手パスワード管理ツール「ラストパス(Lastpass)社」の漏えい事故

「パスワードマネージャー(パスワード管理ツール)」の最大手であるラストパス社も2015年6月に漏えい事件を起こしました。

万全な対策をしているはずが、高度な技術を持つハッカーに侵入され、一部のデータを盗まれてしまったのです。

盗まれたデータは、「ユーザーIDを兼ねるメールアドレス」「万一パスワードを忘れたときに使うパスワードリマインダの内容」「ソルト」「認証ハッシュ」とすぐに発表されました。

ちなみにソルトとは「暗号をさらに複雑化して強化するため付加する値」。ハッシュとは「ユーザーが記入したパスワードが正しいものか整合性を比較するためのデータ」であり、そのままではなんら意味を成さないデータです。

もちろんユーザーの秘密データそのものは流出していません。なぜならラストパス社では、ユーザーが覚えているパスワードを鍵にして暗号化したデータしか預かりません。

ユーザーのデータはそもそも保存していないのだから、流出しても大きな事故にはならないのです。

それでもLastpass社からは、

  • 「理論上は膨大な時間とパワーを使って解析すれば、比較的簡単なマスターパスワードなら推定される可能性は0ではない
  • 「簡単なマスターパスワードを使っているユーザーは、念のため変更して欲しい」

とアナウンスされました。

当然の事ながら、被害は全く報告されていません。