fbpx

「パスワードマネージャー(管理ソフト)」って本当に安全なの? オンラインサービスの安全性とは?

「大切なパスワードをパスワードマネージャーなんかに預けて大丈夫?」「クラウドの保管って危ないのでは?」と不安に思う方も多いと思います。しかしデジタル遺品やデジタル遺産を継承するデジタル終活にはクラウドやツールを効果的に使った方がむしろ安全性は高まります。
現実的に起こりえるリスクを分析して、ツールやクラウドが安心して使っていただける理由をご説明します。

目次

どんなサービスにもリスクはある!しかしリスクの大きさを冷静に判断しよう

絶対安全なサービスはありません。

前の記事で、「パスワードマネージャー」は「ユーザーから預かるデータは、ユーザーしか知らないマスターパスワードで暗号化してから預かり、マスターパスワードは預からないので、漏えいリスクはない」と断言しました。またパスワードマネージャーを私がお薦めするデジタル終活の鍵としてご使用をお奨めしています。

しっかりした企業が運営するサービスですから、確立した技術データに基づいて、公表されている内容通りの安全なサービスを実行しているはずです。

しかしどんなサービスも人が作っています。
うっかりミスや虚偽があるか予測できず、「絶対安心」と断言することはとてもできません。

特にネットワーグ上にあり、ネットを通して使うオンラインサービスでは、万一アカウント流出した際は、あっという間に全世界規模で被害が広がってしまうため、潜在的に極めてリスクが高いことは想像できます。
「そんな物は使わないで、自分のパソコンに保管しておこう」
となってしまう考え方も理解できます。

下記のIT media様の記事が普通の方の率直な意見でしょう。

リスクを考えるヒントとなるセキュリティ事故の2例

万全の対策を実施しているはずのオンラインサービスもしばしば「想定外」の漏洩事故を発生させています。

以下2つの実例をご紹介します。

ひとつは「流出によって個人情報がもれてしまった」もの。

もうひとつは「流出はしたものの、リスクはなく被害も無かった」ものです。

1.個人情報が大量に流出した「宅ファイル便」の大規模漏洩事故

2019年1月下旬。ファイルの転送サービス「宅ファイル便」での大規模漏えい事件が発覚しました。

「宅ファイル便」メール添付では送れないような大きなファイルを手軽に送れるサービスとして1999年から運営されている老舗サービスです。
運営会社は大阪ガスの関連会社の有名なIT企業であり、長い実績と信頼度が高さをアピールし有料サービスも展開していたため、たくさんの企業や個人が会員になっていました。

ところが外部からの攻撃によって、「氏名、メールアドレス(ログインID兼用)、パスワード、生年月日、性別、職業、居住地、郵便番号、勤務先情報、家族情報」などの個人情報があっけなく500万件近く流出してしまいました。
2019年3月現在、また事故の原因や被害規模など詳細は明らかになっていません。それほど大規模な流出事故です。

今のところ通常は必ず「暗号化されて外では解読できなように保存されているはずの個人情報が暗号化されておらず」され、「すでに退会した会員の情報も削除されるずに保管されていて同時に流出した」と、普通では考えられないずさんな事故だった分かっています。

私も10年以上前に退会していましたが、被害者になってしまいました。退会ユーザーのデータを廃棄せずに放置したままとは、信じがたいずさんな会社です。

しかも、事件を発生させた同じ会社が続けている有料サービスの「オフィス宅ファイル便」は「別のシステムで安全だ」と今もサービスを続けています。

おそらく対応に追われて考えが回らないのだとは思いますが、類似の名称にもかかわらず、「別のシステムだから安全対策は万全」という宣伝を今も掲載している無神経さは理解できません。

ユーザー側が「こういう企業だから、こんな事態もあり得るのだ」と覚悟しておかなければならないのでしょう。

2.大手パスワードマネージャー「ラストパス(Lastpass)社」の漏えい事故

パスワードマネージャー」の最大手であるラストパス社も2015年6月に漏えい事件を起こしました。

万全な対策をしているはずが、高度な技術を持つハッカーに侵入され、一部のデータを盗まれてしまったのです。
盗まれたデータは、「ユーザーIDを兼ねるメールアドレス」「万一パスワードを忘れたときに使うパスワードリマインダの内容」「ソルト」「認証ハッシュ」です。
ちなみにソルトとは「暗号をさらに複雑化して強化するため付加する値」。ハッシュとは「ユーザーが記入したパスワードが正しいものか整合性を比較するためのデータ」であり、そのままではなんら意味を成さないデータです。ユーザー独自のデータは流出していません

それでも「理論上は膨大な時間とパワーを使って解析すれば、比較的簡単なマスターパスワードならば推定される可能性は0ではない」ので、Lastpass社は「簡単なマスターパスワードを使っているユーザーは、念のため変更して欲しい」とアナウンスされました。

当然の事ながら、被害は全く報告されていません。

 

各サービスの「重要情報の保管方法」について見極めよう

オンラインサービスの重要データの保管方法を図にしてみました

2つの事例から、一言で流出事故といっても原因と流出した内容によって、ずいぶん違うことがおわかりいただけるでしょう。

もう少しわかりやすくするため、細かいことは省いて、ざっくりパスワード他の機密データを、オンラインサービスがどのように扱っているかを、
【1.安全なサービス】
【2.普通のサービス】
【3.危険なサービス】
の3つのパターンに分けて図にしてみました

オンラインサービスのデータ保管方法(超簡略版)

「宅ファイル便」の事例は【3.危険なサービス】の最悪例です

現在では重要な個人情報を扱うサービスにおいて、社会的責任を果たす信頼されるべき企業が顧客の重要データを暗号化せずに平文(そのまま読める形式)として保管することは考えられません

宅ファイル便は20年前にできたサービスです。確かに一昔前、個人情報保護の意識が少なく、暗号化しないでデータを保管することは普通だった時代もありました。
しかし現在ではまともな企業のサービスではあり得ません。古くからサービスだったがための欠陥だったのでしょう。

古いシステムで改造するのには大変な手間やコストがかかるため、危険を知りながら先送りにしていたのだろうとは推測できますが、有料サービスも運営していたわけで、決して許されることではありません。

更に「退会済みの会員データもそのままにしていた」というずさんな管理方法も明らかとなり、システムの不備とヒューマンエラーが組み合わさった、かなりひどい例です。

しかし現実には、このような運営を行っているサービスは、かなりたくさんあります。ユーザーがきちんとサービス側の信頼性を見極めてサービスを選択するしかありません。

 

「ラストパス(Lastpass)社」の漏えいは1.安全なサービス】なので実害はありません

ラストパス社は、ユーザーだけが知っているマスターパスワードを鍵にして、データがユーザーの手元にある時に暗号化してしまいます。ラストパス社がユーザーから預かるのは暗号化後のデータだけで、鍵は預かりませんから、仮にデータが流出しても安全です。

「どのサービスもこうなったら良いのに」

とお思いでしょうが、それではユーザーの利便性が著しく損なわれます。

どなたも「パスワードが分からなくなった」とサービスに問い合わせたり、再設定した記憶がお有りでしょう。

【1.安全にサービス】のようなレベルは「パスワードマネージャー」のように特別強固な安全性が求められるサービス以外には、なかなか使えないのも現状です。

 

世の中のほとんどのサービスは「2.普通のサービス」です。だから使い回しはダメなのです

一般的に、普通のサービスは、ユーザーの利便性やカスタマーサポートの観点から、暗号化はサービス内で行っています
したがって暗号化の鍵もサービス自体が持っています。
もちろん鍵は厳重に保管されていますが、それでも凄腕のハッカーに攻撃され、時々流出してしまうことがあります。

また、いかにデータや鍵が厳重に保管されても、「社員や関係者による内部犯行」は防ぎようがありません

以前ご説明したとおり、残念ながら「普通のサービス」からは情報流出を防ぐことはできません。いったん流出したパスワードは闇のマーケットで流通し、攻撃に使われます。
ユーザーとして自分を守るには、できるだけ信頼できるサービスをつかい、パスワードの使い回しは絶対にしないことを徹底するしかありません。

関連記事

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか? 2018年の秋。愚かにもdアカウントのパスワードを使い回していたデジタルキーパー株式会社の代[…]

 

リスクは冷静に分析して現実的に判断しましょう

 感情的に「絶対安全」をもとめず「バランスの良い安心でOK」としましょう

これまでの説明で、ラストパスのような「パスワードマネージャー」は「かなり安全なサービス」であることはご理解いただけたと思います。
しかし「絶対安全」ではありません。ラストバス自身も「漏えいデータは、例え暗号化してあったとしても、長時間手間をかけて解析すれば、元のデータにたどり着く可能性が理論上絶対ないとは言えない」と明言しています。
そこで「暗号鍵となるマスターパスワードを長いものにしておけば安心」と言っています。

あなたは、これらのサービス側の表明や過去の実績から判断して、安全性と利便性、コスト、手間などのバランスが取れるところで、安全と判断することこそ賢明なことだと思います。いたずらに感情的に心配してもキリがありません。

あなたはなにか国家機密を扱っているわけではないですよね?

万一の流出を恐れるあまり

記憶できる安易なパスワードを使ったり、いつ壊れたり盗難にあったりするか予測すできない自分のPCやスマホにパスワードを記録したりすることのリスク」と、

「パスワード管理アプリを使ったためにこうむるかもしれないリスク」

とどちらが高いでしょうか? リスクの発生確率はあまりに大きく、比較になりません。

あなたのパスワードが「一国の運命を左右するような超重大機密」でもない限り、答えは明らかだと思います。

できるだけリスクが少なそうなサービスやアプリを選びましょう

一昔前より、ITサービスやアプリを提供する企業には厳しい目が向けられ、各企業は会社の存続をかけてセキュリティー管理に気をつけています。きちんとした起業はルール通りに正しい方法でサービスを運営しているはずですが、過去には大手と言われるサービスでもずさんな事件を引き起こしたことも事実です。

リスクを最小化するためにも、ユーザーが多く、定評あるサービス・アプリを選択しましょう。

無料の良く実態がわからないサービスには手を出さないことが大切です。

ちなみに当ブログの運営元であるDigital Keeper®では、十分な安全対策を施した上で、ユーザーの最重要情報を預からないでデジタル終活を実現する「多要素分散保管」という考え方でサービスを運営しています。

関連記事

「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャーなどアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ大人のための2つの真理」[…]

デジタル終活のためにアプリやサービスを使いたいが、いろんなサービスがありすぎで選択に迷ってしまう

まとめ:
最小限のリスクは許容して、現実的に大切な物を守りましょう

「どうしてもイヤ」と言われると、もう各自の思想や哲学の問題となります。

飛行機で死亡事故に遭遇する確率は0.0009%=10万分の1未満といわれますが、それでも「飛行機が落っこちるのが怖いから、遠くへ旅行はしない」という人もします。
そんな人が「1年間で事故を起こす可能性が0.8%ある自家用車を運転している」のは大いなる矛盾と思います。

飛行機事故や自動車事故に比べるまでもなく、「パスワードマネージャー」の利用してアカウントを管理するようになれば、二段階認証の設定やパスワードの使い回しをしないといったルールを順守する前提で、「限りなくリスク0」に近いデジタル活用ができるようになると断言できます。

そろそろ「外部やクラウドのサービスに預けるのは危ない」というような感情的な考え方は捨てて、現実的に最善な方法でデジタル遺産やデジタル遺品を守り、「デジタル終活~デジタル遺産とデジタル遺品の確実な継承」を実現しましょう。

このブログの運営サービスが日経新聞で紹介されました

オンラインデジタル終活サービスDigital Keeper®が独創的スタートアップとして日経に!

2019年12月11日付の日本経済新聞朝刊「東京・首都圏経済」面「Edgy企業」に”「情報の遺品」管理容易”と、Digital Keeperが掲載されました。
「Edgy企業」は毎回独自性の高いスタートアップ企業が取り上げられますが、当社Digital Keeperのシンプルで柔軟なスキームや「情報本体と鍵を分散して保存する多要素分散保管」が評価されました。
日本経済新聞 電子版(有料会員限定)
https://www.nikkei.com/article/DGXMZO53111870Z01C19A2L83000/

年間2000円で実現するクラウド時代の終活サポートDigital Keeperとは

それは「独創的で、これから必要なサービス!」と日経新聞やテレビでも取り上げられたDigital Keeper®です。
月々わずか167円(年会費2000円)で、一般的な終活だけでなく、「どなたにも今すぐ必要なデジタル終活」もできてしまう、新しいオンラインサービスです。
Digital Keeperでまず「大切なスマホやパソコンのデジタル終活」を5分で実現しましょう。そしてDigital Keeperがお届けする情報を参考にご自身にあった終活や「デジタルキーピング~デジタルの安全と安心」を進めましょう。

詳細は下記バナーからどうぞ!(新しいウィンドウでご覧いただけます)。
Digital Keeperバナー

 

プッシュ通知を