No257 パスワードの使い回しがダメな理由２０２２

「がんばりすぎないセキュリティ」では毎年パスワード管理について解説をしています。

ここ数年で「パスワードの使い回しをやめよう」ということをよく聞くようになりました。
ですが、パスワードの使い回しをすると何がマズいのでしょうか？

今回はこの点について解説します。

1. パスワードの使い回しとは？

パスワードって面倒ですよね。

　・辞書にのってる単語はダメ
　・短いパスワードはダメ
　・ふせんやメモを残すのはダメ
などなど、いろいろなことが求められます。

これを全部守るのは大変ですから、上記を満たすパスワードを作り、それを使い続けている方もおられることでしょう。

ところが、これに加えて近年（2020年より前くらい）はさらに面倒なことが言われるようになりました。
　・複数のサービスで同じパスワードを使っちゃいけない

いわゆる「パスワードの使いまわしをしない」というものです。

「パスワードの使いまわし」とは、複数のサービスに同じパスワードでログインできるようにすることを示します。

最近はIDとしてメールアドレスを用いるサービスも多くなっています。
そのため、IDがメールアドレスに一本化されることで、IDとパスワードが強くつながることになり、結果として同じID（メールアドレス）とパスワードでログインできてしまうサービスが増えることになります。

2. 何がダメなのか？

ですが、どうしてパスワードを使い回すのがダメなのでしょうか？

これは、ひとつがバレると芋づる式に多数のサービスに不正ログインされるのが直接原因です。

上述のように最近はIDがメールアドレスになっているサービスが多くあります。ですから、パスワードがばれるだけで、自動的にIDとパスワードの両方がバレてしまうことになるのです。

一方、IDとパスワードを不正入手した方は、その組み合わせでログインできる他のサービスを片っ端から探して回るようになっています。

おそらくは、せっかく手に入れたIDとパスワードだから「他のサービスでもログインできるだろうか？」とトライしてみたところ、予想以上に収獲があるぞ、これはオイシイぞ、ということに気付かれたのでしょう。

また、攻撃者側の分業が進んでいることも、攻撃方法が変化した理由でしょう。
不正アクセスや偽サイトによって集めたIDとパスワードのセットはダークウェブと呼ばれるアングラ世界で取り引きされているそうです。不正アクセスによってID/パスワードを盗んで販売する犯罪者、偽の警告メールなどによるフィッシング詐欺でだまし取ったID/パスワードを販売する犯罪者、そういったデータを購入して不正ログインを行う犯罪者、といった具合です。

こうやって分業すれば、それぞれの得意とする領域で効率良く不正行為が行えますから、同じデータを使って複数の犯罪者が自身の得意とするサービスへの不正ログインが行われることになります。

これを推し進めると、コンピュータにID/パスワードとamazon、Google、facebookといったサービスのログインURLのリストを与え、自動ログインできるかどうかを試行することになります。

結局、同じパスワードを使い回していると、上記のようなIDとパスワードのセットがバレるだけで、同じパスワードを使っている多数のサービスに被害が広がってしまうわけです。

もちろん、パスワードがそれぞれ違っていれば、こういった攻撃を受けても他のサービスには被害は及ばないわけですが、パスワードを使い回してしまうとそうはいきません。

3. 本人が厳重に管理しても洩れる時は洩れる

「確かに私はパスワードを使いまわしてる。でもメモなどは一切残していない。洩れるはずがないでしょ？」

いえいえ、それでも洩れる時は洩れます。

例えば、サービスの提供元に不正アクセスされるパターン。
これなど、当人がいくら工夫しても避けられません。

「いや、万一洩れたとわかったらスグに全サービスのパスワードを変更する。だから大丈夫」

それでもうまくいきません。

パスワードが漏洩したことをサービス提供元が認識し、発表するまでには時間がかかります。
その間にあなたが加入しているサービスに攻撃を仕掛けられれば、守りようがありません。

次に、サービス提供元が漏洩に気付いてくれるとは限りません。漏洩の事実に気付かない場合は発表などされようがありません。

さらに、たいていの方は自分が作ったアカウントを全て把握できていません。

・登録後、一度だけ使ってそれっきり
・使うつもりだったが、結局使わずじまい
・以前は使っていたが今は使っていない

登録したことを忘れていれば「全部のパスワードを変更しなきゃ！」となるはずがありません。

だからパスワードの使いまわしはすべきではないのです。

4. 使わないサービスはやめてしまう

ではどうすればいいのでしょうか？

上述のように全く使っていないサービスに加入し続けことは情報流出のリスクを自ら抱えることになります。

こんなサービスや、使うかどうかわからないようなサービスはさっさと退会してしまいしょう。

使わないアカウント全てを退会するのは手間のかかる話ですが、それでも退会はデータ漏洩に対する最強の自衛手段です。何といっても、存在しないデータは洩れませんからね。

サービスに加入したことすら忘れているようなサービスはどうしようもありませんが、サービス提供元からのメールなどが来た時点で退会してしまいましょう。

また、最近であれば、パソコン(PC)でもスマホでもパスワード管理機能があります。
こういった機能では、パスワードを覚えているサービス一覧が確認できます。
この一覧から退会できるサービスが検索できますから、これも積極的に利用しましょう。

5. 私のID/パスワードは洩れていないだろうか？

ここまで読んで「果たして私のID/パスワードは洩れていないだろうか？」と不安に思われる方もおられるでしょう。

幸いなことに、現在では漏洩したID/パスワードを収集し公開してくれているサイトがあります。

Have I been pwned?(私のパスワード洩れてる？)
https://haveibeenpwned.com

このサイトでは過去にダークウェブ(アングラでの犯罪者サイト)で販売されていたID/パスワードのデータを多数購入し、それをデータベース化して、検索できるように整備してくれています。

使い方はごくシンプルです。
ご自身のメールアドレスを入力すると、それがデータベースにあるかどうかを教えてくれます。

もし、データベースに存在すれば、"Oh no - pwned! (漏洩しています)"と表示され、データベースになければ、"Good news - no pwnage found! (漏洩していません)" と表示されます。

また、このサイトでは、どんなパスワードがデータベースに含まれているかも確認できます。
　https://haveibeenpwned.com/Passwords

これを使うと誰もが思い付くようなパスワードが何か？がわかります。例えば"123456"なら3700万回、"password"なら950万回、"111111"なら480万回がデータベースに格納されているよ、といった具合です。
これを利用すると「人気のあるパスワード」がわかりますから、皆が使いがちな人気のあるパスワード（＝危険なパスワード）を避けることができるのです。

皆さんが使っているパスワードが安全かどうかを判断する基準に使うことができますので、是非ご活用いただければと思います。

6. まとめ

現代は、ネット上でサービスを受けようとするとアカウント作成を求めらるため、多数のアカウントを持つことになります。

全てを違うパスワードにするのは大変ですから、ついつい同じパスワードを使いがちです。
ですが、これは犯罪者側からすれば、非常に好都合な話で、一組のID/パスワードを知ることができれば、多数のサービスに不正ログインできることになります。

共通のパスワードを使うと、ひとつバレると後のフォローはものすごく大変です。
だから、パスワードの使いまわしはダメなのです。

こういった漏洩リスクはいくら本人が気を付けていても、サービス元から漏洩する可能性があります。
そのリスクを避けるためにも不要なサービスや使っていないサービス、滅多に使わないサービスなどは退会しておくのが一番です。存在しないデータは絶対にバレませんから。

最近は、haveibeenpwned.comなどダークウェブで流通しているパスワードを教えてくれるサービスも登場しています。
こういったサービスを上手に利用してパスワードの漏洩状況を確認したり、人気のある（＝危険な）パスワードを避けるための一助とすることも有効です。

今回は複数のサービスでパスワードを使い回すリスクについて解説しました。
次回は、サービス毎に違うパスワードを簡単に作る方法について解説します。

次回もお楽しみに。

（本稿は 2022年5月に作成しました）

この文章はえがおIT研究所が主宰しているメルマガ「がんばりすぎないセキュリティ」からの転載です。
当方のブログページでも同じ内容を公開しています。
是非ご訪問ください。
メルマガ「がんばりすぎないセキュリティ」では、セキュリティに関連するトピックを毎週月曜日の早朝に配信しています。こちらも是非ご登録ください。
https://www.mag2.com/m/0001678731.html