fbpx

「パスワードマネージャー(管理ソフト)」は安全? オンラインサービスの安全性とは?

「大切なパスワードをパスワードマネージャーなんかに預けて大丈夫?」「クラウドの保管って危ないのでは?」と不安に思う方も多いと思います。しかしデジタル遺品やデジタル遺産を継承するデジタル終活にはクラウドやツールを効果的に使った方がむしろ安全性は高まります。
現実的に起こりえるリスクを分析して、ツールやクラウドが安心して使っていただける理由をご説明します。
/ins>

どんなサービスにもリスクはある!しかしリスクを冷静に判断しよう

絶対安全なサービスはありません。

当プログの別の記事で、
「パスワードマネージャー」は「ユーザーから預かるデータは、ユーザーしか知らないマスターパスワードで暗号化してから預かり、マスターパスワードは預からないので、漏えいリスクはない」
と断言しました。

また当社では、パスワードマネージャーをデジタル終活のツールとしてもお奨めしています。

しかしどんなサービスも人が作っています。
うっかりミスや虚偽があるか予測できず、「絶対安心」と断言することはとてもできません。

特にネットワーグ上にあり、ネットを通して使うオンラインサービスでは、万一アカウント流出した際は、あっという間に全世界規模で被害が広がってしまうため、潜在的に極めてリスクが高いのは事実です。

「そんな物は使わないで、自分のパソコンに保管するのが安全」
という考え方も理解できます。

下記のIT media様の「パスワードマネージャーの導入を家族に反対された」という記事が普通の方の率直な意見でしょう。

しかし「強力で正しいパスワード」はとても覚えることはできず、紙に書いたり、スマホに保管するのも、かえって危なそうです。

進歩しているデジタルを、感情だけで「使わない」という判断するのはあまりに残念ですので、わかりやすくオンラインサービスの安全性をご説明したいと思います。

まずは2つの対照的なセキュリティ事故から「安全とは何か?」を考えましょう。

リスクを考えるヒント~セキュリティ事故の2例

万全の対策を実施しているはずのオンラインサービスもしばしば「想定外」の漏洩事故を発生させています。以下2つの実例では

  1. ひとつは「流出によって個人情報がもれてしまった」もの。
  2. もうひとつは「流出はしたものの、リスクはなく被害も無かった」ものです。

1.個人情報が大量に流出した「宅ファイル便」の大規模漏洩事故

2019年1月下旬。ファイルの転送サービス「宅ファイル便」での大規模漏えい事件が発覚しました。

「宅ファイル便」メール添付では送れない大きなファイルを手軽に送れるサービスとして1999年から運営されている老舗サービスです。
運営会社は大阪ガスの関連会社のIT企業であり、長い実績と信頼度が高さをアピールし無料で使えたため、たくさんの企業や個人が会員になっていました。

ところが外部からの攻撃によって、「氏名、メールアドレス(ログインID兼用)、パスワード、生年月日、性別、職業、居住地、郵便番号、勤務先情報、家族情報」などの個人情報があっけなく500万件近く流出してしまいました。

事故の原因や被害規模など詳細はうやむやで、明らかになっていません。補償もされません。

今のところ通常は必ず「暗号化されて外では解読できなように保存されているはずの個人情報が暗号化されておらず誰でも読める状態だった」とされ、「すでに退会した会員の情報も削除されず、同時に流出した」と、とんでもないずさん事故だった分かっています。

私も10年以上前に退会していましたが、被害者になってしまいました。退会ユーザーのデータを廃棄せずに放置したままとは、信じがたいずさんな会社です。

これで分かることは、「しっかりした大手の会社でも、裏ではいい加減な運営をしていることもある」「無料のサービスでは責任を取ろうともしない」とう事実です。
ユーザー側が「こんな事態もあり得るのだ」と覚悟
しておかなければならないのでしょう。

2.大手パスワードマネージャー「ラストパス(Lastpass)社」の漏えい事故

パスワードマネージャー」の最大手であるラストパス社も2015年6月に漏えい事件を起こしました。
万全な対策をしているはずが、高度な技術を持つハッカーに侵入され、一部のデータを盗まれてしまったのです。

盗まれたデータは、「ユーザーIDを兼ねるメールアドレス」「万一パスワードを忘れたときに使うパスワードリマインダの内容」「ソルト」「認証ハッシュ」とすぐに発表されました。

ちなみにソルトとは「暗号をさらに複雑化して強化するため付加する値」。ハッシュとは「ユーザーが記入したパスワードが正しいものか整合性を比較するためのデータ」であり、そのままではなんら意味を成さないデータです。

もちろんユーザーの秘密データそのものは流出していません。なぜならラストパス社では、ユーザーが覚えているパスワードを鍵にして暗号化したデータしか預かりません。

ユーザーのデータは保存していないのだから、深刻な流出事故は起きないのです。

それでもLastpass社からは、

  • 「理論上は膨大な時間とパワーを使って解析すれば、比較的簡単なマスターパスワードなら推定される可能性は0ではない
  • 「簡単なマスターパスワードを使っているユーザーは、念のため変更して欲しい」

とアナウンスされました。

当然の事ながら、被害は全く報告されていません。

 

>>次ページ オンラインサービスの重要情報の保管方法の違いを知る