JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。

今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。

11回目は、ヤフー 社長室リスクマネジメント室 プリンシパルの高 元伸氏による寄稿です。

【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"

はじめに

ネット企業による特集の連載も最後となりました。

今回は、アカウントの「価値」や「特性」の違いを整理し、不正アクセスを受けることでどのような「脅威」が生じるのかを認識することで、「パスワード使い回し」をしないことの重要性を再度確認していただけると幸いです。

個々のアカウントが持つ「脅威」と「リスク」

「パスワード使い回しが危険」とわかっていても、持っているアカウントの数が多いと、管理が煩雑になってしまっているというのが実情でしょう。

そこで、まず知っていただきたいことは、皆さんが使用しているアカウントそれぞれの「特性」です。

その重要性を知ることでパスワードを使い回すことの危険性がより理解しやすくなり、使い回しだけでなく、パスワードを効率よく管理することにもつながります。

リスク管理の第一歩は、その「脅威」と「リスク」を知ることから始まります。

アカウントの特性

皆さんはキャッシュカードやクレジットカード、電子マネー、運転免許証、ポイントカード、スタンプカードなど、さまざまなカードを所有し、管理をしているはずです。

それと同様に、一口に「アカウント」と言ってもさまざまな利用目的があり、使用頻度や公開範囲、そしてパスワードの強度も、実際には使い分けているという方も多いのではないでしょうか。

  • オンラインバンキングやカード決済、電子マネーなど金銭的価値のある情報を持つ

  • 登録メールアカウントとして他のアカウントのパスワード再設定にも使える

  • 家族や友人知人とのコミュニケーションに利用している

  • インターネット・オークションなどで高い評価ポイントがついている

  • SNSやブログのアカウントで多くのフォロワーを持っている

  • ゲームのアカウントでレアなカードやアイテムを保持している

  • 情報サイトの閲覧用や懸賞サイトの応募に使う

金銭に直結する情報を持つアカウントは攻撃側としても狙われる価値の高いものです。

不正ログインが金銭的被害だけでなく、マネー・ロンダリングなどの犯罪に悪用される「リスク」もあります。

パスワードの使い回しを絶対に行わないだけでなく、追加の対策として「アカウントを、不特定多数の目になるべく公開しない」といった十分な配慮も必要です。

アカウントを作成する時に登録し、パスワードの再設定の認証に使用するメールアカウントは、作成したアカウントと同じ価値を持つことになります。

例えば運転免許証のように、"運転をしても良い"という許可証としての側面と、"本人である"という認証用途にも利用できるからです。

「重要なアカウントとしてパスワードを複雑にする」ことや、「不正ログインの兆候の確認など不審な点がないかに気を配る」といった、しっかりした管理を心がけるべきです。

アドレス帳や友達登録を設定してあるアカウントがひとたび不正にログインされると、フィッシングメールやマルウェアの拡散、なりすましによる詐欺などで、被害が自分以外に拡大することがあります。

アカウントの公開範囲を意識し、重要な連絡用のアカウントと不特定者に開示するアカウントの共用をできるだけ避けるなど、使い分けも意識しましょう。

また、評価が高い、アクセス数が多い、知名度が高いといったアカウントは、アカウントそのものに価値があります。つまり、不特定多数の他のユーザーから認識されるため、標的型攻撃の対象になる可能性も増えるわけです。公開範囲を制限することは難しいですが、その分パスワードをしっかり管理する価値も高いといえます。

なぜ「パスワード使い回し」はしてはいけないのか

「共通」のパスワード、「共通」の管理をすることは、その中で一番低い安全レベルに合わせてしまうことになります。例えば、クレジットカードやスタンプカードを同じ財布に入れて、1つのカードを使用するたびにすべてを取り出していることと同じ「リスク」があるのです。

ひとたび不正利用されてしまえば、「価値」の違いにかかわらず連鎖的に被害が広がります。被害の影響が大きいアカウントは、利用目的が異なるアカウントと使い分け、「パスワードの使い回し」を決してするべきでないことをおわかりでいただけたでしょうか。

ヤフーでも不正ログインに対してさまざまな対策を講じ、被害の減少に努めています。

一方で、パスワードリスト攻撃は近年さらに巧妙化しており、対策を察知しながら手法を変えてくる「いたちごっこ」の状態が続くと予想されます。

すべてのアカウントを完璧に守ること以上に、守るべきアカウントの重要性と特性を理解し、適切なパスワード管理をすることが結果的に「リスク」を軽減するのです。

もちろん「パスワード使い回し」をしないだけですべてが守られるわけではありません。

ヤフーでは自社での対策に加えて、ユーザーの方自身でもYahoo! JAPAN IDを守るためのオプション機能をいくつか無償で提供しています。

「パスワード使い回し」をしないことに加えて、アカウントの「価値」と「特性」を理解し、リスクに合わせた対策を工夫することで、不正アクセスの「リスク」を軽減できるでしょう。

ぜひこの機会に、ご自身のIDとパスワードの管理を再確認してみてください。

著者プロフィール

高 元伸(こう もとのぶ)
ヤフー 社長室リスクマネジメント室 プリンシパル

日本IBM、シスコシステムズを経て、2001年よりソフトバンクBBにて技術本部、品質管理本部、セキュリティ本部長を歴任。
ソフトバンク セキュリティ対策室長補佐、ソフトバンクテレコム、ソフトバンクモバイル セキュリティ本部長を兼任し、2008年 IDCフロンティア(ヤフー100%子会社)取締役システム技術本部長。
2012年より、ヤフー CSO室長を経て現在、社長室リスクマネジメント室にて、セキュリティおよび企業リスク全般を担当する。