JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
7回目は、グリー インフラストラクチャ本部 セキュリティ部 部長 / GREE-IRT 奥村 祐則氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
はじめに
こんにちは。グリー インフラストラクチャ本部セキュリティ部 / GREE-IRT の奥村と申します。
今回は連載も折り返しということで、この連載の基本に立ち返って「リスク」と「対策」について整理してみようと思います。そして「パスワード使い回し」をしている方、ご家族ご友人の意識が少しでも変われば幸いです。
「リスク」と「対策」の関係
まずは一般論としての「リスク」と「対策」の関係についてです。
突然ですが、あなたは自宅に鍵をかけておられますか。自動車や自転車はいかがですか。多くの方は鍵をかけているかと思います。では、なぜ鍵をかけているのでしょうか。
この場合は「自宅」への泥棒の侵入や、「自動車」「自転車」を他人に盗まれるのを防ぐためでしょう。「自宅」の中には金目のものがあるでしょうし、「自動車」「自転車」も価値があるものです。
価値のあるものが、悪意のある第三者に狙われうる場合、被害に遭わないためには何か対策が必要です。セキュリティ的な用語を使うと、「価値」と「脅威」から想定される「リスク」に応じた「対策」が必要、というところでしょうか。
パスワードを設定する、という「対策」
では、あなたがお使いの「パスワード」はどのような「リスク」への「対策」でしょうか。
ここで「リスク」は「価値」と「脅威」により変わることを思い出してください。「価値」はお使いのサービスによって様々だと思います。
オンラインバンキングであれば「価値」はあなたの預金残高かそれ以上でしょうし、SNSのアカウントであれば「価値」は金銭的なものというよりは「あなたに関する様々な情報」ということになるでしょう。オンラインストレージであれば、お金には代え難い思い出の写真が保存されているかもしれません。
いずれにせよ、あなたはその「価値」を誰かに盗まれたり、見られたり、破壊されたり、といった「脅威」から守るためにパスワードを設定しているのです。
そして、「パスワードを設定する」という行為は「リスク」への「対策」ですが、パスワードそのものが「価値」を持つことにお気づきでしょう。
もし、あなたの預金残高が100万円あったとしたら、そのオンラインバンキングのパスワードは100万円か、それ以上の価値があります(昨今1つのパスワードだけでアクセス可能なオンラインバンキングはないですが、話を簡単にするためにご容赦ください)。 また、eコマースサイトのパスワードであれば、登録のクレジットカードの限度額とほぼ同じ価値があるでしょう。SNSやオンラインストレージの価値はプライスレスと言えるかもしれませんね。
パスワード使い回し、という行為の「リスク」
このように考えてみると、普段お使いのパスワードは「感覚値以上に価値が高いものである」と思いませんか。
100万円が入っているお財布を持ち歩いたらドキドキするかもしれませんが、預金残高100万円のオンラインバンキングにアクセスできるパスワードを覚えているからといってドキドキする人はいないでしょう。
そうです。誰もがパスワードの「価値」を軽く見てしまいがちで、つまりは「リスク」を過小評価しがちなのです。
そして、ついつい、「パスワード使い回し」をしてしまうのです。
パスワードを使い回せば使い回すほど、そのパスワードの「価値」は上がっていきます。「リスク」もそれに伴い上がっていきます。しかし、あなたの感覚値ではそんなに大きな「リスク」だとは思っていません。
そしてついに、偶然でも意図的でもパスワードが流出してしまい、パスワード使い回しによる「リスク」が現実のものとなればあなたは必ずショックを受け、後悔します。
誰もが、「こんなことになるとは思わなかった」と言います。それは、目に見えない「リスク」を過小評価しているからなのです。
GREE の「対策」
ということで、「パスワード使い回し」はあなたの感覚値以上に大きな「リスク」を抱えることになります。
サービス事業者としてのグリーは、そういった「リスク」を過小評価されがちなお客様の行動と、日々高度化する攻撃手法を用いてくる攻撃者からの脅威の両面に対応すべく、日々努力しております。
逆説的ではありますが、ID とパスワードが正しくてもお客様ご本人とはみなさずに別の情報で再確認する(二段階認証)といった対策も提供しております。
攻撃側への対策としては、同じところから次々と別のID でアクセスしてくる"古典的"な「リスト型攻撃」をブロックすることから始まり、様々なチューニングを行っています。こういった攻撃側への対策は他社さんのレポートもご覧ください。
あなたの「対策」は?
最後に、あなたの「対策」はいかがでしょうか。
パスワード使い回しは論外。独自のパスワードルール(ある文字列+対象サービスごとの符号)に基づきサービスごとのパスワードを設定される方もおられるようです。
「リスク」に応じてより強固なパスワードを設定したり、二段階認証や二要素認証を使ったり、といったあなたの「対策」を是非考えてみてください。
最後までお読みいただきありがとうございました。この特集を読んで得た知見を活用して安全なインターネットライフをお送りください!
著者プロフィール奥村 祐則(おくむら まさのり)
2001年にセキュリティ畑へ足を踏み入れる。はじめはセキュリティエンジニアとして、改ざん検知システムや認証基盤などセキュリティ関連のシステム構築に従事。
グリー インフラストラクチャ本部 セキュリティ部 部長
その後は認証基盤の監査やリスク・セキュリティ・プライバシー関連のコンサルティング業務に従事。2012年からグリーにおいて、セキュリティに関連するあらゆる業務を担当。同時期に立ち上がったGREE-IRT ではPoC 兼 CC 兼 現場担当する。
現在もセキュリティ面での様々な施策を通じてグリーが展開する事業を支えている。