セキュリティ

危険な組合せは同じメールアドレスと同じパスワード、漏洩すると利用している全てのWEBサービスが乗っ取りの危険にさらされる

2014.06.21
この記事は約2分で読めます。

危険な組合せは同じメールアドレスと同じパスワードリスト型アカウントハッキングとみられる不正アクセス事案が急増している。mixi、ニコニコ動画、はてな、などの大手WEBサービスに相次いで大量の不正ログインがあったことが公表された。アカウントの乗っ取り事件が大量に起きているわけだが、いずれも自社サービスからIDとPWが漏洩したわけではなくリスト型アカウントハッキングだ。各社はユーザーにパスワードを変更するように注意を呼びかけている。
リスト型アカウントハッキングとは、悪意を持ったものが、なんらかの方法で取得したIDとPW(パスワード)の組合せを用いてログインを試みる手法。ユーザーはIDとしてメールアドレスを用い、パスワードもいつもと同じものを使うという傾向が強い。そのため、メールアドレスとPWがなんらかの方法で漏洩すれば、その組合せを用いて、他のWEBサービスにログインされてしまうことになる。危険なIDとPWの組合せは、いつもと同じメールアドレスといつもと同じパスワードなのである。

リスト型アカウントハッキングに関する検索結果画面

リスト型アカウントハッキングに関する検索結果画面

WEBサービスを提供する側からすれば、IDとPWが正しければ正規ユーザとみなす。そうしないと、正規ユーザがいつでもどこでもサービスを使えないからである。つまり、IDとPWの管理(とくにPWの管理)はユーザーの自己責任によるところが大きい。

IDであるメールアドレスは自分だけが知っているという状況にはできない。コンタクトをとりたい外部に知ってもらわないとメールアドレスは使えない。だからPW管理がとくに重要なのである。

PW(パスワード)管理

PW管理の心得としては以下のことがあげられる。

  • パスワードを見破られにくいものにする(名前、誕生日、電話番号などにしない)
  • 英数記号の組合せで8文字以上にする(abc,123,%&$などを含ませる)
  • 定期的に変更する(毎月変更するという方法もある)
  • 使わいまわしをしない(すべてのWEBサービスで同じパスワードというのは危険)
  • 二重認証サービスなどセキュリティが強固なWEBサービス以外は使わない(金融系やGoogle、ヤフーでは二重認証のしくみがある)
  • ID(メールアドレス)とPWだけでログインできるWEBサービスは必ずPWを別なものにする(ニコニコ動画、mixi、はてな、ツイッター、フェイスブックなど、なお使わないのならいっそ退会してしまう)
  • 自社運営のWEBサービスではログイン画面をSSLにしたり、ベーシック認証をかけたりして保護する

すべてを実現するのは困難も多いが、できるだけ複数の施策によりPWを守る意識が必要である。

ニコニコ動画退会

▼参考資料

総務省の発表
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

どもども通信のメルマガは毎月1日発行です

どもども通信

当社の月刊情報誌の「どもども通信」をPDFでご覧いただくことができます。

どもども通信

詳しくは上記のリンクをクリックして専用ページでお確かめください。

どもどもメルマガイメージ
なお、当社にはメルマガが2つあります。

どもどもカフェ(毎週日曜日夜発行)」のメルマガと「どもども通信(毎月1日発行)」のメルマガの2つです。

この2つのメルマガは別の内容ですのでご注意ください。

【本日の運試し】

どもどもおみくじで本日の運試しをしてみませんか?

おみくじボタン

  • ラッキーモード:大吉の確率50%
  • 標準モード:標準的な確率です
  • いばらの道モード:大吉の確率1%
シェアする
遠田幹雄(とおだみきお)