No203 パスワードの使い回しがダメな理由２０２１

最近、いろんなサービスで「他のサービスと同じパスワードは使わ
ないでください」という警告を見ます。

本メルマガのNo201でもIPAの「情報セキュリティ１０大脅威」に
「パスワードの使いまわしを避けましょう」という記述が何度も
登場していることを書きました。

ですが、パスワードを使いまわすのがダメな理由はそれほど解説
されていないようです。

このメルマガでは毎年この時期にパスワードに関する記事を書いて
います。
今回から数度に分けて、パスワードに関する話題を取り上げます。

1. パスワードの使いまわし

パスワードって面倒ですよね。

・単純なパスワードは使っちゃいけない
・短いパスワードは使っちゃいけない
・パスワードをメモを書き残しちゃいけない

これを全部守るのは大変ですから、一度覚えた複雑なパスワードを
多くの場面で使っているという方も多いでしょう。

ですが最近になって、さらに面倒なことが言われるようになって
きています。
・複数のサービスで同じパスワードを使っちゃいけない

そう、いわゆる「パスワードの使いまわしをしない」というもの
です。

2. 何がダメなのか？

ですが、どうして同じパスワードの使いまわしがダメなのでしょう？

これは、ひとつがバレると芋づる式に多数のサービスに不正ログ
インされる可能性が高いからです。

IDとパスワードを不正入手した犯罪者は、その組み合わせでログ
インできる他のサービスを片っ端から探して回るというのが最近の
トレンドです。

ですから、同じパスワードを使い回していると、どこかのサービス
でログイン情報が漏れると、同じパスワードの全サービスに被害が
広がる可能性が非常に高いのです。

え？「でも、世の中たくさんのサービスがあるのに全部にログイン
するなんて無理でしょ？」ですって？

いえいえ、そんなことはありません。できるんです。

犯罪者だって何も手作業でIDやパスワードを入力したりはしません。
コンピュータに何百何千のサービスのログインURLのリストを与え、
それで多数のログイン試行をさせるのです。

ホントにその人が加入しているサービスなんてわかりようがありま
せんから、ログインＯＫならば加入済、ログインＮＧなら（ホント
は違うパスワードであっても）未加入とみなすわけです。

パスワードがそれぞれ違っていれば、他のサービスには被害は
及びません。
ですが同じパスワードを使いまわしていると、パスワードが洩れる
と、多数のサービスに不正ログインされてしまうのです。

3. 本人が厳重に管理しても洩れる時は洩れる

「私はパスワードを使いまわしてる。でもメモなどは一切残して
いない。これなら大丈夫でしょ」

いえいえ、それでも使いまわしはいけません。

いくつかの理由があります。

まずはサービスの提供元から洩れるパターン。
これは本人の努力と無関係ですから、どうにも避けられません。

「いや、万一洩れたとわかったらスグに全サービスのパスワードを
変更する。だから大丈夫」

いえいえ、そうはうまくいきません。

パスワードが漏洩したことをサービス提供元が認識し、発表する
までには時間が必要です。その間に犯罪者側はあなたの加入して
いるサービスをゆっくり調べる時間があります。

そもそもサービス提供元が漏洩に気付ければむしろ幸運で、漏洩の
事実に気付いていない場合は発表されるはずもありません。

さらに面倒な話で、自分が作ったアカウントを全て把握できている
人など滅多にいないのです。

・登録後、一度だけ使ってそれっきり
・使うつもりで作ったアカウントだが、結局使わずじまい
・以前は使っていたが今は使っていない

登録したことを忘れていれば情報漏洩があったてお「ふーん、俺
には関係ないや」となり「全部のパスワードを変更しなきゃ！」
とならないでしょう。

パスワードを使いまわしていると、本人の努力では守りきれません。

だからパスワードの使いまわしはすべきではないのです。

4. 使わないサービスはやめてしまう

現代は、ネットで新たにサービスを使おうとするとアカウント作成
を求められがちです。数百のアカウントを持っていることも珍しく
ありません。

上述のように全く使っていないものも含まれているはずですが、
これは「安全」という観点で見ると大きなリスクです。

こんなサービスや、使うかどうかわからないようなサービスは
さっさと退会しましょう。

使わないアカウント全てを退会するのは手間のかかる話ですが、
それでも退会はデータ漏洩に対する最強の自衛手段です。
何といっても、存在しないデータは洩れませんからね。

なお、退会する時には、パスワードもランダムなもの（適当にキー
ボードから入力したものでＯＫ）にしておきましょう。
さらに余力があれば、氏名や住所といった個人情報も空白文字など
に書き替えておけば完璧です。

一部のサービスではアカウント削除後も「復活」が行えるように
（親切心＋あきらめが悪い）個人情報を残すケースがあるためです。

サービスに加入したことすら忘れているようなサービスもあるで
しょう。
忘れてしまったものは仕方ありませんので、サービス提供元からの
メールなどが来たら、忘れず退会手続きを行うようにしましょう。

5. パスワード使いまわしで被害補償の対象外に？

ところでアカウントを不正利用された場合、受けた被害は補償を
受けられます。
例えば、銀行のオンラインサービスやクレジットカードがそうです。

ただし、補償を受けるには本人に過失がないことが条件です。
アカウントの管理、つまりIDやパスワードが誰でも見られる場所に
置いてあったり、あまりに簡単なパスワードだったりすると補償額
が減額されたりする場合があります。

今後はパスワードの使いまわしで「ID/パスワードの管理が不十分」
と判断される時代にならないとも限りません。

もちろん、これは「パスワードを使いまわすなんてありえない」が
世間の常識となっている前提で、これを書いている2021年時点は
まだ大丈夫です。

仮に被害が補償されても、不正利用からの回復には時間も労力も
かかります。そんな目に合わないように自衛することが大切です。

現時点でも使いまわしをやめる方法はいろいろありますので、これ
を機に切り換えることを強くお勧めします。

サービス毎に違うパスワードをつける具体的な方法については、
次回以降に解説します。

6. まとめ

現代は、ネット上でサービスを受けようとするとアカウント作成
を求めらるため、多数のアカウントを持つことになります。

同じパスワードを使い回していると、その組み合わせでログイン
できるサービスがバレます。しかもコンピュータを動員しますので、
かなり短かい時間でバレてしまいます。

いくらパスワードがバレないようにしても、サービス提供側からの
漏洩は自衛しようがありません。
だから、パスワードの使いまわしはダメだと言われるのです。

そのリスクを避けるためにも不要なサービスや使っていないサー
ビス、滅多に使わないサービスなどは退会しておくのが一番です。
データが存在しなければ、絶対にバレませんから。

次回からは、サービス毎にパスワードを変える具体的な方法を
解説します。

次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html