KADOKAWAがサイバー攻撃を受け、システム障害に加えて個人情報の流出も確認されたことが大きなニュースになっています。
一部では、ニコニコ動画のアカウント、パスワードも漏洩し、悪用の危険性が、などという話もありましたが、今のところ、そこまでの事態は確認されていないようです。
他方で、KADOKAWAの事件とは別の話ではありますが、7月4日付けcyber newsの記事で、100億近いパスワードが漏洩、ハッキングフォーラム上に公開され、悪用される危険が生じていると報じています。
これらの話は、我々一般ユーザーにとって、単なる一企業のニュースや他人事では済まない重要な問題だと感じています。安易なパスワード管理、パスワードの使いまわしが非常に危険であるということが、単なる理屈上の話やどこか他所の話ではなく、現実の、身近な問題であるということです。
パスワード使いまわしの危険性
パスワードを使いまわしてはいけません、というのは、あらゆる場面でよく言われますし、そんなのよく分かっている、という方も多いことでしょう。
もし、パスワードを使いまわしていた場合、どこかの一つのサイトでID、パスワードが漏洩した場合に、それを使って、様々なサイトにログインが試みられてしまい(いわゆるクレデンシャルスタッフィング攻撃)、登録している多くのサイトに不正アクセスされる可能性が生じてしまいます。
そして、その対応のため、自分が登録している(同じパスワードを使っている)すべてのサイトについて、不正アクセスされていないか確認し、されていなかったとしてもパスワードを変更するなど、膨大な作業を強いられることになります。
どれくらいの数のサイトに登録を行い、共通のパスワードを利用しているのかにもよりますが、もし仮に私が利用しているすべてのサイトでパスワードを使いまわしていたとしたら、本当に気が遠くなるような作業を短時間のうちに強いられることになります。
今回の件は、こうしたことが現実に起こり得る(KADOKAWAの件では、そこまでの事態には至っていないようですが、そのリスクが現実のものとしてある)、ということを実感させられました。
ニコニコ公式自身も、「念のため、ニコニコアカウントと同じパスワードを他サービスでもお使いの場合は、パスワードを変更することを推奨いたします」と注意喚起しています。
パスワードの漏洩は、自分がフィッシング詐欺に引っかかるなどのミスを犯さなくとも、登録したサイト側でも起こり得るということです。
これに対する自衛策は、パスワードを使いまわさず、サイトごとに異なる複雑なパスワードを設定するということです。
とは言え、複雑なパスワードを、各サイトごとに別々に考え、何らかの形で保管しておくのは、面倒なのは間違いないですし、パスワードの使いまわしはダメというのは頭では分かっていても、ついつい同じパスワードを設定しまうという人も、結構いるのではないでしょうか。
かつての私がまさにそうでした。
パスワードマネージャーは必須
登録しているすべてのサイトについて、それぞれ別の複雑なパスワードを使用していた場合には、仮にどこかのサイトでパスワードが漏洩したとしても、まずは、そのサイトについての対応だけで事が済みます。
ですが、アナログな方法(紙などの活用)で、数多くの複雑なパスワードを管理するのは現実ではありません。
登録しているサイトの数が少なく、複雑なパスワードを管理するのも大丈夫、という方は別ですが、今の時代、ECサイト、銀行、証券、決済などなどオンラインサービスを良く活用するのであれば、パスワードを管理するアプリ、パスワードマネージャーを活用するのは必須だと思います。
複雑なパスワードを考えるだけでも面倒ですが、パスワードマネージャーなら、指定した条件にあったパスワードを簡単に生成してくれますし、安全に保管してくれますので、紙などに残しておく必要もありません。
パスワードマネージャーなどでまとめて管理するのは、それが破られたらすべて終わりだから、逆に危険なんじゃないの? そう思っている時期が私にもありました。
ですが、利用するサイトの数が増えてくると、パスワードマネージャーなしで、そのすべてについてパスワードを適切に管理するのはもう無理です。
パスワードマネージャーとて、100%安全というわけではありません。しかし、パスワードを使いまわしたり、簡単な推測されやすいパスワードを使い続けるよりは、はるかに安全だと思います。
私は、これまでの記事でも書いていますように、現在はBitwardenというアプリを使っていますが、評判の良いアプリであれば何でも良いと思います。有料で優秀なアプリならいくつもありますし、Bitwardenなら無料のものでも十分な機能があります。
手軽なものでは、私が使い辛いと言ったMicrosoftアカウントによる管理でも、あるいはGoogleアカウントによる管理でも、信頼できるものなら何でも良いです。何もしないよりはずっとましです。
パスワードマネージャーは、難しそうで何か敷居が高い、と思われている方もいらっしゃるかも知れませんが、一気に完全に移行しなくとも、まずは使ってみましょう。
パスワードマネージャーの「Bitwarden」については、こちらの記事「パスワードマネージャー「Bitwarden」を使ってみた」をご覧ください。
パスワードマネージャーの利用で気をつけること
どのパスワードマネージャーでも同じですが、パスワードマネージャー自体のパスワード(マスターパスワード)やアカウントの管理は厳重にしましょう。
パスワードマネージャーやそのアカウントにログインするためのパスワードは簡単に推測されないけれど失うことのないようにし、そして、ログインするためには二段階認証の設定など、できるかぎり厳重にしましょう。
Google、Microsoftなら、可能であればログインするのにパスキーを利用するのが便利だと思いますが、パスキーについて馴染みが無くて今一つ良く分からないというのであれば、まずは、パスキー抜きで二段階認証などをきっちりして、利用しはじめるのでも良いでしょう。
また、先日(2024年7月)にこんなニュースがありました「Google Chromeのパスワード管理に障害、保存していたパスワードが消える」。Edgeもブラウザのプラットフォームは同じなので、同じく障害が発生したようです。
今回は、復旧して事なきを得たということですが、やはり、一つのものだけに頼るのは危険です。
利用されている環境にもよりますが、ローカル(USBなど)で一覧表を保存するなどバックアップは必要だと思います。パスワードの更新や増加のたびにバックアップも更新するのは面倒ですが、全てを失うよりはましです。
追記
先日(2024年7月某日)、日興証券から突然メールが来て、「イージートレードへのログイン時にパスワードの入力失敗が規定の回数に達したため、ロック(利用停止)いたしました」という内容でした。
ここ最近日興証券にはログインしていないので、「これはきっとフィッシングだろう」と思い、確認のため、メールのリンクは踏まずに、Web検索から日興証券のページにアクセスしてログインしようとしましたが、同じようにパスワードの入力失敗でロックされている旨の表示。
先ほどのメールはフィッシングではなく、実際にロックしたという本物の通知でした。
つまり、私以外の誰かが、故意なのかうっかりなのか分かりませんが、私の口座番号でログインを試みた、ということです。
早速、示された手順に従って、パスワードを再設定、ロック解除をしてもらいましたが、他人が自分の口座にログインしようとすることが本当にあるんだなと思いました(可能性としては当然ある話なのですが)。
可能であれば、二段階認証なども設定すべきですが、基本は「複雑で推測されにくいパスワード」がまず重要であることを改めて認識しました。
そのためには、やはりパスワードマネージャーは欠かせないツールだと思います。
最後に
登録しているサイトの数が少ない間は、アナログ的に地道にパスワード管理をしていても何とかなりますが、何でもかんでもWEB、オンラインの時代になってきた今、私自身は、パスワードマネージャー無しの生活と言うのはもはや考えられません。
パスキーが普及し、パスワード不要の世の中になれば、もっと簡単になるんだろうと思います。
パスキーにはパスキーの問題もあるでしょうし、100%安全というわけでも無いでしょうが、現状よりは管理も楽になり、安全性も高まるのではないかと思っています。
ですが、以前にも少し書きましたが、パスワードに慣れた感覚からすると、パスキーは仕組みが分かりにくいですし、ちょっと馴染みにくい気もしますし、現状を見ていると、パスキーが一般的になるのはまだ少し先のように思います。
ということで、当分は、パスワードマネージャーのお世話にならざるを得ないと思います。
コメント