fbpx

「パスワード管理ツール」はどうして安全なのか? 安心して使えるオンラインサービスの仕組みを知ろう

「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。
現実的に起こりえるリスクを分析して、パスワード管理ツールのようなオンラインサービスが安心して使える理由をご説明します。
/ins>

オンラインサービスのリスクを冷静に判断しよう

「パスワード管理は自分でやった方が安全」は本当か?

どんなサービスも人が作っている以上、うっかりミスやサイバー攻撃、従業員の犯罪などアクシデントがある可能性は否定できません。

特にネットワーグ上にあり、ネットを通して使うオンラインサービスでは、万一アカウント流出した際は、あっという間に全世界規模で被害が広がってしまうため、潜在的に極めてリスクが高いのは事実です。

「そんな物は使わないで、自分のパソコンに保管するのが安全」
という考え方も理解できます。

下記のIT media様の「パスワードマネージャーの導入を家族に反対された」という記事が普通の方の率直な意見でしょう。

しかしパスワードは今では「最低でも12文字以上は必要」と言われています。また「パスワードの使い回しは最悪の行為です。
だからと言ってパスワードを、紙に書いたり、スマホに保管するは、どう考えても危険です。

今やデジタル抜きでは社会は成り立たず、金融から医療までデジタルは幅広く使われています。
日本政府も「デジタル世負」に大きく舵を切りました。

パスワードのような「本人認証」は、あらゆるところで必要となるため、新しい管理方法や認証方式も続々出てきて進歩しています。

「危なそうだ」という感情的な判断で「使わない」判断するのはあまりに残念ですので、わかりやすくパスワード管理ツールのような重要情報を扱うオンラインサービスの安全性をご説明したいと思います。

まずは2つの対照的なセキュリティ事故から「安全とは何か?」を考えましょう。

 

2つのセキュリティ事故の例からオンラインサービスの安全性を考える

万全の対策を実施しているはずのオンラインサービスもしばしば「想定外」の漏洩事故を発生させています。

対照的な2つのセキュリティ事件を通して、「デジタルの安全とは何か?」をご説明します。

  1. 「ミスによる流出によって個人情報がもれ大きな被害が発生した事件」
  2. 「不正侵入によって情報流出はあったが、何の被害も無かった事件」

 

1.個人情報が大量に流出した「宅ファイル便」の大規模漏洩事故

2019年1月下旬。ファイルの転送サービス「宅ファイル便」での大規模漏えい事件が発覚しました。

「宅ファイル便」メール添付では送れない大きなファイルを手軽に送れるサービスとして1999年から運営されている老舗サービスです。

運営会社は大阪ガスの関連会社のIT企業であり、長い実績と信頼度が高さをアピールし「無料」で使えたため、たくさんの企業や個人が会員になっていました。

ところが外部からの攻撃によって、「氏名、メールアドレス(ログインID兼用)、パスワード、生年月日、性別、職業、居住地、郵便番号、勤務先情報、家族情報」などの個人情報があっけなく500万件近く流出してしまいました。

事故の原因や被害規模など詳細はうやむやで、明らかになっていません。補償もされません。

今のところ通常は必ず「暗号化されて外では解読できなように保存されているはずの個人情報が暗号化されておらず誰でも読める状態だった」とされ、「すでに退会した会員の情報も削除されず、同時に流出した」と、とんでもないずさん事故だった分かっています。

これで分かることは、「しっかりした大手の会社でも、裏ではいい加減な運営をしていることもある」「無料のサービスでは責任を取ろうともしない」とう事実です。

ユーザー側が「こんな事態もあり得るのだ」と覚悟しておかなければならないのでしょう。

 

2.大手パスワード管理ツール「ラストパス(Lastpass)社」の漏えい事故

「パスワードマネージャー(パスワード管理ツール)」の最大手であるラストパス社も2015年6月に漏えい事件を起こしました。

万全な対策をしているはずが、高度な技術を持つハッカーに侵入され、一部のデータを盗まれてしまったのです。

盗まれたデータは、「ユーザーIDを兼ねるメールアドレス」「万一パスワードを忘れたときに使うパスワードリマインダの内容」「ソルト」「認証ハッシュ」とすぐに発表されました。

ちなみにソルトとは「暗号をさらに複雑化して強化するため付加する値」。ハッシュとは「ユーザーが記入したパスワードが正しいものか整合性を比較するためのデータ」であり、そのままではなんら意味を成さないデータです。

もちろんユーザーの秘密データそのものは流出していません。なぜならラストパス社では、ユーザーが覚えているパスワードを鍵にして暗号化したデータしか預かりません。

ユーザーのデータはそもそも保存していないのだから、流出しても大きな事故にはならないのです。

それでもLastpass社からは、

  • 「理論上は膨大な時間とパワーを使って解析すれば、比較的簡単なマスターパスワードなら推定される可能性は0ではない
  • 「簡単なマスターパスワードを使っているユーザーは、念のため変更して欲しい」

とアナウンスされました。

当然の事ながら、被害は全く報告されていません。

 

 

「重要情報の保管方法の違い」を理解しよう

オンラインサービスの重要データの保管方法を図にしてみました

2つの事例から、一言で流出事故といっても原因と流出した内容によって、ずいぶん違うことがおわかりいただけるでしょう。

もう少しわかりやすくするため、細かいことは省いて、ざっくりパスワード他の機密データを、オンラインサービスがどのように扱っているかを、

  1. 【安全なサービス】・・ユーザーの秘密データを、ユーザーが持っている鍵で暗号化して保管している。
  2. 【普通のサービス】・・ユーザーの秘密データを暗号化しているが、暗号の鍵も社内に保管している。
  3. 【危険なサービス】・・ユーザーの秘密データを暗号化せずそのまま保管している。

の3つのパターンに分けて図にしてみました

オンラインサービスのデータ保管方法(超簡略版)

「宅ファイル便」の事例は【3.危険なサービス】の最悪例

現在では重要な個人情報を扱うサービスにおいて、社会的責任を果たす信頼されるべき企業が、顧客の重要データを暗号化せずに平文(そのまま読める形式)として保管することは考えられません

宅ファイル便は20年前にできたサービスです。確かに昔は個人情報保護の意識が少なく、暗号化しないでデータを保管することは普通だった時代もありました。
しかし現在ではまともな企業のサービスではあり得ません。古くからサービスだったための欠陥が残っていたのです。

上の記事で「史上まれに見る“バカな流出”だ」と酷評されていますが、古いシステムを改善するのには大きなコストがかかるため、危険を知りながら先送りにしていたのだろうとは推測できます。

さらに「退会済みの会員データも削除せず放置していた」というずさんな管理方法も明らかとなり、システムの不備とヒューマンエラーが組み合わさった、かなりひどい例です。

しかし現実には、このような運営を行っているサービスは、かなりたくさんあります。ユーザーがきちんとサービス側の信頼性を見極めてサービスを選択するしかありません。

 

「ラストパス(Lastpass)社」の漏えいは1.安全なサービス】で実害はない

ラストパス社は、ユーザーだけが知っているマスターパスワードを鍵にして、データがユーザーの手元にある時に暗号化してしまいます。

暗号化の鍵はユーザーだけが知っている「マスターパスワード」です。

ラストパス社がユーザーから預かるのは暗号化された後のデータだけで、鍵は預かりませんから、仮にデータが流出しても安全です。

「どのサービスもこうなったら良いのに」とお思いでしょうが、それではユーザーの利便性が著しく損なわれます。

どなたも「パスワードが分からなくなった」とサービス元に問い合わせたり、再設定した記憶がおありでしょう。

【1.安全にサービス】のようなレベルは「パスワードマネージャー(パスワード管理ツール)」のように特別強固な安全性が求められるサービス以外には、なかなか使えないのも現状です。

 

世の中のほとんどのサービスは「2.普通のサービス」。だから使い回しは危険!

一般的に、普通のサービスは、ユーザーの利便性やカスタマーサポートの観点から、暗号化はサービス内で行っています

したがって暗号する時の鍵は、サービス側が保管しています。

もちろん鍵は厳重に保管されていますが、それでも凄腕のハッカーに攻撃され、時々流出してしまうことがあります。

また、いかにデータや鍵が厳重に保管されても、ベネッセの事件のように「社員によって盗み見される内部犯行」だけは防ぎようがありません

残念ながら「普通のサービス」からは情報流出を防ぐことはできません。いったん流出したパスワードは闇のマーケットで流通し、攻撃に使われます。

ユーザーとして自分を守るには、できるだけ信頼できるサービスをつかい、パスワードの使い回しは絶対にしないことを徹底するしかありません。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

 

リスクと現実を冷静に比較して判断すると

 感情的に「絶対安全」をもとめず「バランスの良い安心でOK」としよう

これまでの説明で、ラストパスのような「パスワードマネージャー(パスワード管理ツール)」は「かなり安全なサービス」であることはご理解いただけたと思います。

しかし「絶対安全」ではありません。

ラストバス自身も「漏えいデータは、例え暗号化してあったとしても、長時間手間をかけて解析すれば、元のデータにたどり着く可能性が理論上絶対ないとは言えない」と明言しています。

そこで「暗号鍵となるマスターパスワードを解読に時間がかかる長いものにしておけば安心」と言っています。

あなたは、これらのサービス側の表明や過去の実績から判断して、安全性と利便性、コスト、手間などのバランスが取れるところで、安全と判断することこそ賢明なことだと思います。

いたずらに感情的に心配してもキリがありません。

あなたは国家機密を扱っているわけではない

万一の流出を恐れるあまり

記憶できる安易なパスワードを使ったり、いつ壊れたり盗難にあうかも分からない自分のPCやスマホにパスワードを記録したり」するリスクと、

「定評ある会社のパスワードマネージャー(パスワード管理ツール)を使ったためにこうむるかもしれないリスク」

の、どちらが高いでしょうか?

リスクの発生確率の差はあまりに大きく、比較になりません!

あなたのパスワードが「一国の運命を左右するような超重大機密」でもない限り、答えは明らかだと思います

リスクが少ないサービスやアプリを選ぶには?

一昔前より、ITサービスやアプリを提供する企業には厳しい目が向けられています。
特にパスワード管理ツールのようなセキュリティに直結する機密情報を取り扱う会社は、会社の存続をかけて莫大な投資をして、セキュリティ管理に気をつけています

それでも、企業はルール通りに正しい方法でサービスを運営しているはずですが、過去には大手と言われるサービスでもずさんな事件を引き起こしたことも事実です。

リスクを最小化するためにも、

  • ユーザーが多く、定評あるサービス・アプリを選択する。
  • 無料で運営し運営実態がわからないサービスには手を出さない

ことが大切です。

無料のパスワードマネージャー(パスワード管理ツール)の中には動作が不良の物の他、パスワードを盗むスパイウェアに近いような物も存在していますので十分にご注意ください。

 

ブログ内の関連記事(新しいウィンドウで開きます)

「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]

デジタル終活のためにアプリやサービスを使いたいが、いろんなサービスがありすぎで選択に迷ってしまう

 

まとめ:
最小限のリスクは許容して、今ある大切なものを守りましょう

「どうしても預けるのはイヤ」と言われると、もう個人のお気持ちの問題です。

たとえば、飛行機で死亡事故に遭遇する確率は0.0009%=10万分の1未満といわれますが、それでも「飛行機が落っこちるのが怖いから、遠くへ旅行はしない」という人もいます。

しかし同じ人が「1年間で事故を起こす可能性が0.8%もある車を運転している」のは大いなる矛盾です。

飛行機事故や自動車事故に比べるまでもなく、「パスワードマネージャー(パスワード管理ツール)」の利用してアカウントを管理するようにして、二段階認証の設定やパスワードの使い回しをしないといったルールを順守すれば、「限りなく危険は0」に近いデジタル利用ができるようになると断言できます。

そろそろ「外部やクラウドのサービスに預けるのは危ない」というような前時代的で感情的な考え方は捨てて、現実的に最善な方法でデジタル遺産やデジタル遺品を守りましょう。

 

ブログ内の関連記事(新しいウィンドウで開きます)

当サイトは「デジタル終活」とはお年寄りの終活とは異なり、「日頃からIDやパスワードなどデジタル資産を管理し、不要な物は断捨離し、デジタルを安全に使いながら継承も準備しておく」といった一連の作業と考えています。これが完成すれば、自身も安心[…]

デジタル終活を終えて幸せそうなシニアカップル