危険な組合せは同じメールアドレスと同じパスワード、漏洩すると利用している全てのWEBサービスが乗っ取りの危険にさらされる

危険な組合せは同じメールアドレスと同じパスワードリスト型アカウントハッキングとみられる不正アクセス事案が急増している。mixi、ニコニコ動画、はてな、などの大手WEBサービスに相次いで大量の不正ログインがあったことが公表された。アカウントの乗っ取り事件が大量に起きているわけだが、いずれも自社サービスからIDとPWが漏洩したわけではなくリスト型アカウントハッキングだ。各社はユーザーにパスワードを変更するように注意を呼びかけている。
リスト型アカウントハッキングとは、悪意を持ったものが、なんらかの方法で取得したIDとPW(パスワード)の組合せを用いてログインを試みる手法。ユーザーはIDとしてメールアドレスを用い、パスワードもいつもと同じものを使うという傾向が強い。そのため、メールアドレスとPWがなんらかの方法で漏洩すれば、その組合せを用いて、他のWEBサービスにログインされてしまうことになる。
危険なIDとPWの組合せは、いつもと同じメールアドレスといつもと同じパスワードなのである。

リスト型アカウントハッキングに関する検索結果画面

リスト型アカウントハッキングに関する検索結果画面

WEBサービスを提供する側からすれば、IDとPWが正しければ正規ユーザとみなす。そうしないと、正規ユーザがいつでもどこでもサービスを使えないからである。つまり、IDとPWの管理(とくにPWの管理)はユーザーの自己責任によるところが大きい。

IDであるメールアドレスは自分だけが知っているという状況にはできない。コンタクトをとりたい外部に知ってもらわないとメールアドレスは使えない。だからPW管理がとくに重要なのである。

PW(パスワード)管理

PW管理の心得としては以下のことがあげられる。

  • パスワードを見破られにくいものにする(名前、誕生日、電話番号などにしない)
  • 英数記号の組合せで8文字以上にする(abc,123,%&$などを含ませる)
  • 定期的に変更する(毎月変更するという方法もある)
  • 使わいまわしをしない(すべてのWEBサービスで同じパスワードというのは危険)
  • 二重認証サービスなどセキュリティが強固なWEBサービス以外は使わない(金融系やGoogle、ヤフーでは二重認証のしくみがある)
  • ID(メールアドレス)とPWだけでログインできるWEBサービスは必ずPWを別なものにする(ニコニコ動画、mixi、はてな、ツイッター、フェイスブックなど、なお使わないのならいっそ退会してしまう)
  • 自社運営のWEBサービスではログイン画面をSSLにしたり、ベーシック認証をかけたりして保護する

すべてを実現するのは困難も多いが、できるだけ複数の施策によりPWを守る意識が必要である。

ニコニコ動画退会

▼参考資料

総務省の発表
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

この記事を書いた人

中小企業診断士:遠田幹雄の顔写真遠田 幹雄(とおだ みきお)
 
経営コンサルティング企業である株式会社ドモドモコーポレーションの代表取締役。石川県金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントである。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係るコンサルティング活動を展開している。商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣中小企業基盤整備機構の経営窓口相談に対応したりもしている。
保有資格:中小企業診断士、情報処理技術者
 
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介している。


このページはTwitter、はてな、Google+、FacebookなどのSNSで以下のような反響があります。
なお、コメントはFacebookにログインしている状態でのみ受け付けております。セキュリティ上の観点からこのようにしております。ご了承願います。
このエントリーをはてなブックマークに追加  

この記事のURL「https://dm2.co.jp/2014/06/onajipwkiken.html」をQRコードで表示
この記事のURL「https://dm2.co.jp/2014/06/onajipwkiken.html」をQRコードで表示「https://dm2.co.jp/2014/06/onajipwkiken.html」
パソコンで表示されたページをスマホでも見たい場合は、このQRコードをスマホのカメラ(QRコードが読めるリーダー)で読むとページが表示されます。