大量のパスワード盗難の影響と対策

大量のパスワードの盗難は、私たちにとってどのようなリスクとなるのでしょうか。そして、個人としてどう対応すべきなのでしょうか。

ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが報じられています。この大量のパスワードの中に皆様のパスワードが含まれていても不思議ではありません。では、実際のところ何が起こっているのでしょうか。

Webシステムでは連日、システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。私たちはこれを機に、個人のパスワードに関する習慣の見直しを図る必要があります。

例えば、一般的なインターネットユーザは、GoogleでGmailメールアカウントを作成します。安全とされるパスワードの基本条件に従い、大文字、小文字、数字、特殊文字を含んだパスワードを設定する必要性も認識されています。しかし、FacebookなどのSNSやWeb上の様々なサービスで、GmailメールアカウントをユーザIDとして使用し、またパスワードも同じものを使用することは、頻繁に起こりがちです。

悪意のあるハッカーがスキャンを開始しても、Gmailは適切に保護されているため、攻撃の影響を受けることはありません。しかし、Webサイトの多くは、適切に保護するためのスキルやリソースを持っていない場合があります。ハッカーはこうしたサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのユーザIDであるGmailアカウントとパスワードを知ることになります。このGmailアカウントヘアクセスした結果、ハッカーはメールアドレスのみならず、Googleのサイト上で管理するその他のデータをすべて入手します。

さらにハッカーは、Facebookなど多くの人が利用しているインターネットサイトをスキャンします。ここでも同じユーザIDとパスワードが使用されていれば、ハッカーはFacebookアカウントや、その他いくつかのサイトのアカウントも手に入れます。そして、入手したアカウントを悪用し、メールの内容やその他の連絡先情報、文書、クレジットカード番号などを入手します。スパムを送信し、またなりすまし詐欺を行うこともできます。

この例のように、安全とされるパスワードを使用しても、多くのサイトで使い回していれば、結局のところ安全でありません。同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまいます。

強力なパスワードを複数使用することは不便だと考えがちですが、適切な手段はあります。体系的に、正しいルールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。さらにエフセキュアのパスワードマネージャF-Secure Keyのようなツールを使えば、管理はいっそう容易になります。

ところで、ユーザIDやパスワードの大量漏洩は、どのように影響し、個人としてどう対応したらよいのでしょうか。影響範囲は特定されていませんが、盗まれたパスワードの数が膨大であることから、実際に危機は存在します。そのため、まずパスワードの変更が先決です。そして、同一のパスワードを使い回すことなく、適切なパスワードの設定を行ってください。


*エフセキュアの社名、ロゴ、製品名はF-Secure Corporationの登録商標です。
*本文中に記載された会社名、製品名は各社の商標または登録商標です。

企業プレスリリース詳細へ
PRTIMESトップへ