パスワード使いまわし？死ぬぞ。

みなさん、クラウドサービス使っていますか？

Youtube、Google、Facebook、Twitter、Instagram、などなど。
今の世の中、だいたいの問題を解決してくれるSaaSサービスが世の中に転がっていて、仕事・私生活問わず使わないなんてことはありえない。
どっぷりです。

そんな皆さんに質問です
スマホに登録されてるアカウントの数、数えてみたことありますか？

例えば、私の所有しているアカウント数は1500くらいあります。

…はい、これは極端な例ですが、
普通にスマホを所有している人なら10～20ほど、
がっつり活用している人なら50～100近くあってもおかしくありません。
（例外はあります。もちろん。）

…これ、どうやって管理してます？

え、同じのを使いまわしてるよ？

パスワード、覚えたくないですよね。
8桁以上の文字列を複数覚えるなんて考えたくもない。

うん、よくわかるよ。

だから、同じメールアドレスとパスワードの組み合わせを、色々なサービスで使いまわしてる？

おめでとうございます、死亡が確定いたしました。

…はい、詳しく説明していきましょう。

パスワード使いまわしはなぜ死ぬのか

「パスワードスプレー攻撃」
という攻撃手法があります。

どこかから流出した、アカウント情報を入手して、

そのアカウント情報が、
他のサービスでも使えないか確認していくという手法。

パスワードスプレー攻撃とは？仕組みと被害の特徴、対策方法について徹底解説

詳しい話はどうでもいいのですが（よくない）、

この攻撃の難点は
「どこか一か所でも漏れれば全滅」
ということ。

一発でアカウントが乗っ取られます。

そして、
どこからでも情報は洩れます。

Facebookの5,000万人分の情報流出について、いま知っておくべきこと

全ユーザーのTwitterパスワードが漏洩!? マカフィーが対策を解説

そして、
その情報は犯罪者間でシェアされます。

22億件超の流出アカウント情報、ダークウェブで一括公開

流出しても、そんな危なくなくない？

とても危ないです。
ほんとに。

個人レベルでも、
「プリペイドカード買ってきて」詐欺に利用されたり、
フィッシング詐欺などの入り口として使われたりします。

なりすまし被害の本当の恐ろしさとは？被害の実態と有効な対策8選

これが法人のアカウントならもっと悲惨です。

例えば、Googleアカウントを乗っ取られたら、
mailのやりとりを監視・犯罪利用されます。

ビジネスメール詐欺（BEC）とは、仕組みや効果的な対策について徹底解説

例えば、Wordpress のアカウントを乗っ取られたら、
自社サイトがマルウェアをばら撒く詐欺サイトの仲間入り。

私のサイトがマルウエアに感染！詐欺サイトとして報告されていますだと？！

例えば、Dropbox のアカウントを乗っ取られたら、
機密情報などが全てインターネットの闇へ流出します。

Dropboxのハッキング事件：知っておくべきこと

え、じゃあどうすんのさ。

解決策はいくつかあります。

「全部にそれぞれ違うカギを使う」→ パスワードマネージャー
「複数の鍵がないと開かなくする」→ 多要素認証
「安全な1つの鍵に集約する」→ Googleでログイン（SSO）

「沢山パスワード覚えるのなんて無理だから、覚えなくても安全にしようぜ！」
が今のセキュリティのトレンド。

4500万人のユーザーに“パスワード”をやめさせたい——ヤフーが進める「もっと安全で簡単な認証」とは (1/3)

とはいえ、
多要素認証も、
SSOも、
全てのサービスが対応しているわけではないのが現状。

エンジニアがちゃんと構成を考えたり、
お金をかけたりできないのであれば、
パスワードマネージャーに多要素認証するのが最強。
異論は認める。

おススメ

オープンソースのパスワードマネージャ
「bitwarden」はいいぞ！

おおむね必要なことは無料でできる！（二要素認証とか）
組織で使っても、1Password・Lastpassなど他サービスより安い！

Open Source Password Management Solutions | Bitwarden

詳しいパスワード漏洩の対策の仕方などが気になる場合は、
気軽にご相談ください！

無料相談への申し込み