ほぼ例外なく｢パスワードは漏れている｣､なぜ？パスワードにまつわる俗説を検証“正しい管理”にアップデートするには

いずれにせよ、我々が使っているアカウント情報とパスワード情報は、すでに何らかの形で漏洩していると考えるのが妥当だ。試しに「haveibeenpwned」というサイトを検索して自分のメールアドレスを入力してみてほしい。

haveibeenpwndというサイト（写真：筆者提供）

数年以上使っているものならば、ほぼ例外なく「pwned!（漏洩あり！）」と表示されるはずだ。このサイトは世界中から（前述MOABのような）漏洩したアカウント情報データセットを収集している。入力されたメールアドレスでそれらを検索し、ヒットするデータセットがあれば「Pwned」を表示する。

※Pwnはオンラインゲームで勝ったとき相手を倒したときに使うスラングでown（所有する：敵を支配したという意味）のタイプミスが語源とされている。

パスワードはどのようにして漏れるのか？

漏洩しているパスワード情報の多くは、フィッシングメールなどで入手したものやサイバー攻撃で侵入したシステムからアカウントデータベースの情報を抜き取ったものと考えられる。

データベースを丸ごと抜き取る攻撃も、最初の侵入はフィッシングメールで入手したアカウント情報を利用する場合もある。クラウドサービスでは、公開範囲、アクセス条件などの設定ミスによって漏洩することもある。

大規模な情報漏洩は、内部犯行で起こることもある。2023年NTT西日本で発生した900万件の個人情報流出事件は、委託先業者による不正行為が原因だった。

アカウント情報やパスワードが直接盗まれなくても、なりすましや不正アクセスは可能である。推測可能な弱いパスワードを使ったり、複数のサイトで同じパスワードを使いまわしたりすることでそれが可能になる。

煩雑なパスワード管理を記憶だけでこなすことは不可能だ。たいていの人間は、覚えやすいパスワード、絶対忘れないパスワードを複数のサービスで使いまわしてしまう。生年月日、「Password」「12345」「999999」といった安易なものを使っていれば、これを突破するのも簡単だ。

パスワードを複数のサービスで使いまわしていると、漏洩したアカウントIDとパスワードの組み合わせで、SNSやオンラインバンキング、Amazonや楽天などのECサイトなど、主要なサービスを順番に試すという攻撃が可能になる。

パスワード管理や漏洩対策については、総務省が公開しているサイトが参考になる。類似のサイトはIPA（情報処理推進機構）やセキュリティベンダーも公開している。これらを参考に以下のポイントを徹底するのが基本となる。

ベンダーや各省庁などが公開する対策は、大原則であり守ることに意味はある。しかし、常識や一般論にとどまるものも含まれるので、実践が難しいこともある。