パスワードを使い回してる人へ:Googleのツールでパスワードの脆弱性、チェックしとこ…?

GIZMODO / 2019年10月10日 8時5分

cj2rrmd7t4ejib84jc77 Image: Google

思ったより漏れてます…。

Googleは便利なパスワードチェックツールを、広く一般ユーザー向けに公開しています。さて、あなたのパスワードはどれくらい優秀なんでしょうか?

もし、複数アカウント間でパスワードを使い回していたり、推測しやすいパスワードを使用していたりするんなら、答えは「おそらく、あなたが考えているほど強力ではない」です。

ITリテラシーに関係なくパスワードチェックできるように

特にハッキング技術もない普通の人でも、単に同じものを入力するだけでアカウントにアクセスできてしまう…そんなパスワードの欠陥をなんとかしようというのが、Googleがチェックツールを展開するモチベーションです。今回は、2月に公開され好評だったChrome拡張機能について、利用の敷居をさらに下げたかたちです。

パスワード漏洩がチェックできるサイト「Have I Been Pwned」なんかもありますが、アカウントのセキュリティを常に把握するのは面倒です。脆弱性を定期的にチェックする時間が設けられるほどセキュリティ意識の高い人なら、すでに対策もガチガチでしょう。Googleは、強力なパスワード保護とは別口で推測機能を提供することで、ユーザーのセキュリティが向上することを期待しています。

40億件以上の漏えい済みアカウントをチェック

パスワードチェックは次のように機能します。

たとえば、銀行やNetflixなんかにサインインしたときの本人確認情報について、データ漏洩で公開され、Googleによって収集された40億件以上ものユーザー名/パスワード(残念ながら、同じものも極めて多い)に含まれていないかのチェックが走ります。

本人証明情報が公開されていることがわかった場合、あるいはそれらが特に脆弱な場合や使いまわしている場合に、パスワードを変更するようフラグによって通知されます。

アメリカのサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)の一環として同ツールの利用がスタートし、Googleアカウントのパスワードマネージャ項目から、ワンクリックで本人証明情報のスキャンを実行できるようになっています。拡張機能なんかのダウンロードは一切必要はありません。

さらに今年後半には、パスワード機能がChromeに統合され、問題をはらんだ本人証明情報にすぐにフラグが立てられるようになります。

66%が複数アカウントで同じパスワードを使用

uyzgalz4tdcl0mqyun3q Image: Google

Googleは広範な展開に先立ち、市場調査企業Harris Pollと提携して、3,419人のユーザーについて、リスクのある一般的なパスワードセキュリティ習慣を掘り下げました。

そこでGoogleが目にしたのは、アメリカ人のパスワード仕様に関する“気のめいる”そして“悲惨”な現実でした…とGoogleのアカウントセキュリティディレクターのMark Risherさんは同社のニューヨーク市本部での記者会見で述べています。

たとえば、アメリカ人の4人に1人近くが、頻繁にフラグが立てられている一般的で脆弱なパスワードを使用しています(「111111」、「123456」、「Iloveyou」、または他の覚えやすいバリエーション)。

Harrisの調査で、回答者の66%は、複数アカウントで同じパスワードを使用しているとわかりました。このケースでは、あるアカウントが漏洩した場合に複数のアカウントを同時に危険にさらす可能性があります。調査によると、多要素認証を使用したユーザーはわずか37%で、パスワードマネージャを使用していたのはわずか15%でした。この2つは、優良なパスワード保護に不可欠なセキュリティ対策です。

アカウントを3段階にわけて運用する傾向

Risherさんは、アメリカ人は本人証明情報を、大きくは3段階に分類する傾向があると述べています。最上級機密(銀行口座など)、重要度まあまあ(電子メールなど)、重要でない(Netflix、フードデリバリーサービスSeamlessなど)です。

ただ、アカウント登録でちょっとうんざりしてしまったときなんかには、分類が機能せずパスワードを再利用してしまうことを、Risherさんは付け加えました。

理想的な世界は、すべてのアカウントに長くて複雑なパスワードが設定され、パスワードマネージャが覚えといてくれるからユーザーは覚えなくてよいどころか知る必要もなく、そして、パスワード変更はセキュリティ漏洩が発生した場合にのみ行なえばよく、しかも、NIST(アメリカ国立標準技術研究所)による推奨仕様に則っている…というもの。しかし、Harrisの調査が示すように、利便性を優先するあまりセキュリティの優良生には目をつぶってしまいがちです。そして、私たちは心の奥底で、ほんとはどうするのが懸命かを知っている。だからこそ、Googleは介入を試みているんです。

パスワード使用に関する誤解を撲滅

またGoogleは最終的に、悪い習慣とともにパスワード仕様に関する誤った情報を抑制しようとしています(たとえば、「パスワードを物理的に書き留めるのは悪い習慣である」といったもの。ご紹介したように、実際、パスワードを書き留めて安全に保管することは、悪意ある攻撃者からアカウントを保護するのに非常に効果的です)。

NetflixやHuluのような低リスクと見なされがちなアカウントについても、実際、使いまわしはマズく、パスワードが別のアカウントのものと似ているか同じだとすれば、特にです(Harrisの調査結果によると、アメリカ人の27%が過去に誰かのパスワードを推測しようとした経験があり、そのうち17%が推測を成功させています)。

繰り返し表示して悪いパスワード習慣をリマインド

米Gizmodoが、40億件以上のユーザー名/パスワードのデータベースを、Googleがどうやって集めてくるのか尋ねたところ、Risherさんは、ほとんどはオープンWebとGoogleの検索エンジンをクロールして収集されると説明してくれました。クレジットカード会社のようなものに関しては、ダークウェブをクロールして漏洩したユーザー名とパスワードを探してくるとのことです。

このツールでは、まだアカウントデータの保護に必要な対策を講じてない可能性がある人たちに、問題やリスクのあるパスワード習慣を繰り返し知らせることを目的としています(さあ、いますぐパスワードマネージャを入手して!)。

ただ、すでに情報を保護するために必要な手を打っているセキュリティマニアにとっても、役に立つ可能性があります。たとえば、古いアカウントや存在を忘れているアカウントの本人証明情報が漏洩し、何らかの理由で未処理のまま放置されていた場合に、Googleのパスワードチェックが当該アカウントのユーザー名/パスワードを更新するよう教えてくれるかもしれません。

パスワードチェック実行の際は、ご利用中のパスワードマネージャと連携して機能します。アクセスするには、Googleアカウントに移動し、セキュリティ項目に行ってからパスワードマネージャ(下のほう)に移動してみてください。もしくは、こちらからどうぞ。

この記事に関連するニュース

トピックスRSS

ランキング