ほぼ例外なく｢パスワードは漏れている｣､なぜ？パスワードにまつわる俗説を検証“正しい管理”にアップデートするには

パスワードは現代社会において不可欠なほど広く、深く浸透してしまっている。そのため、本来便利さと安全を両立させるはずのパスワードが、便利さも安全性も阻害するやっかいな存在になっていないだろうか。

世界中で漏洩しているパスワード

ここ数年のサイバー攻撃動向をみると、フィッシングメールによる認証情報（アカウント名＋パスワード）の詐取が大きな問題となっている。

以前は、ハッキングやウイルスをばらまいてシステムに侵入するサイバー攻撃が多かったが、現在はフィッシングで認証情報を取得して侵入する攻撃が増えている。

現在、多くの業務システムやさまざまな商用サービス、公共サービスがクラウド化している。これらのサーバーは強固なセキュリティ対策が施されたデータセンターに存在している。

クラウドサーバーのアプリケーションプログラムは、どの国のどのデータセンター、どのサーバーに存在にしているかは特定できない。攻撃者にとって、標的としたいサーバーやプログラムに外部から侵入することは困難になっている。その結果、攻撃者は、手っ取り早くアカウント情報とパスワードを入手する攻撃を多用するようになっている。

大規模なアカウント情報の流出は、実は珍しいものではない。2013年にはヤフー（アメリカ）が30億件、2017年にはEquifaxが1億4800万件、2021年にはLinkedInが7億件という規模のアカウント漏洩事件が起きている。

Equifaxは企業や個人の与信情報を扱う企業で、世界中（主にアメリカ）の顧客のアカウント情報、社会保障番号、その他がサイバー攻撃で盗まれた。対策・対応の不備を問われた企業は法的な罰則を受け、CEOは更迭された。その被害者補償はまだ完全に終わっていない。

マイクロソフトやグーグル、Facebook、X（Twitter）も例外ではない。グーグルは2016年に100万件のアカウント情報が盗まれ、Facebookは2019年から2021年にかけて5億件以上を流出させている。

数だけでいえば、2024年にセキュリティ研究者が260億件以上のアカウント情報・個人情報の巨大データセットを発見している。中国のメッセージアプリなどの情報が多いとされるが、TwitterやDropbox、テレグラム、アドビのアカウントも含まれていた。

このデータセットはMother of All Breach（MOAB：Mother of All～は「究極の～」という意味）と名付けられており、漏洩データはダークウェブやアンダーグラウンドマーケットで流通している。

MOABは、おそらく過去の大規模漏洩事件のデータを集めたもので、重複しているものや現在無効となっているアカウントも多数含まれていると思われる。件数だけで重大さを判断するのは危険だが、億単位の漏洩アカウント情報は、普通に取引されている。