パスワードを付箋に書かないで！「本当にあった恐いセキュリティの話」がTwitterで何度も話題になる理由

個人情報の漏洩、ハッキング…電子機器のセキュリティにまつわるトラブルは企業や自治体、個人レベルでも繰り返し発生しています。Twitter上に出回った類似のエピソードをひもとくと、似た問題が起こる理由が見えてきました。

ツイートまとめサービスのTogetter（トゥギャッター）がお送りする「3分くらいで分かる週刊Twitterトレンド」、今回のテーマは「セキュリティ意識」についてです。

ログイン情報を紙に記録するためのハンコが登場！？

トモヲ（@tomowo_PS2)　さんは「サービス名」「ユーザーID」「パスワード」と彫られたハンコを“発明”したとツイート。「パソコンやサービスにログインするためのパスワードを付箋に書いて、わかりやすい場所に貼っている」という人に便利なアイテム…かと思いきや、これには多くのTwitterユーザーが湧き上がりました。

こいつはヤヴァイ発明をしてしまったゼ、、、
このハンコと付箋があればキレイにメモしてモニター周りに解りやすく貼っておくことが出来るのだ！٩( ᐛ )و pic.twitter.com/KouPQeucFH

— トモヲ (@tomowo_PS2) October 18, 2022

「ログイン情報を付箋に書いて貼る」という行動は、Twitterユーザーの間では「セキュリティ意識が低い人のやりがちな行動」の一例として挙げられることがしばしば。ハンコはその行動を皮肉るジョークアイテムとして考えられたものなのです。

このハンコについてTwitterユーザーからは「これはわかりやすい！」「すぐにログインできて便利ですね」とこれまた皮肉のこもったコメントが集まりました。もちろん「セキュリティ意識ガバガバ」「システム担当が全力で燃やしに来る」「監査に指摘されてしまう」と現実的な指摘の声も。

各種サービスのユーザーIDとパスワードをわかりやすく管理できる画期的なハンコが発明されてしまう

このように「ログイン情報を紙や付箋に書いておく」といった行為は一般にはおすすめできません。

もし似たようなことをしている人がいたら、「誰かが自分の代わりにパソコンにログインしやすい状況を作り出してはならない」ということを教え諭していく必要があるでしょう。

アメリカで起きたハッキング事件は「なるべくしてなった」

アメリカでは2021年、フロリダ州にある水道の浄水施設のシステムにハッカーが侵入し、水に有害物質を追加するよう操作された事件が発生しました。

浄水施設を管理するコンピューターのセキュリティがあまりに脆弱だったことがわかり、事件の詳細が明らかになるにつれ、セキュリティ事情に詳しいTwitterユーザーたちが震え上がりました。

ネットワークエンジニアのDeepOne（@Innsmouth_h）さんもニュースを知り「ヒェっとなった」とツイート。

アメリカの水道施設がサイバー攻撃で水質を操作されたというニュースを読んでﾋｴｯ……となった後、
・水道施設のシステムにはFWがなかった
・パスワードを全員で共有していた
・PCはサポート切れのWindows7を使っていた
・不満を持った職員が犯人と思われる
と書いてあってさらにﾋｴｯっとなった

— DeepOne (@Innsmouth_h) March 30, 2021

具体的にはこのような状況だったといいます。

・ファイアウォールを介せずインターネット接続していた
・2020年にサポートが終了した「Windows 7」搭載のPCを使っていた
・パスワードを全員で共有していた

ハッキングという行為そのものはもちろん悪質ですが、システム全体がリスクの高い状況に置かれていたことも問題視されました。

Twitterユーザーからも「起こるべくして起こった」「全社共通パスワードをクリティカルな部分で使うな」との感想が多く、中には「ほぼうちの会社（のシステム）では」「その辺の会社でたくさんありそう」というツイートも。

もしかすると日本でも似たような状況にある企業が少なくないのかもしれません。

『ヒェッ！』アメリカの水道施設がサイバー攻撃された事案のセキュリティ事情を知るとひゅっとする「上司かな、と当初スルー」

アメリカで起きたハッキング事件は、いつか日本の身近なところで起きてもおかしくありません。システムをリスクが高い状態のまま使い続けることが、いかに危険なのかがよくわかる事例と言えます。

「ヒューマンエラー」を超越する人の行動

コンピューターを強固なセキュリティで管理していても、扱う人のセキュリティ意識が高くないと、重大なインシデントは発生し続けてしまいます。その点がよく理解できるツイートが話題になりました。

とある@一馬力コンサル会社社長（@eccentricia）さんが「なぜ情シス（情報システム担当者）が社員を信じることができなくなるか教えてあげよう」と一枚の写真をTwitterに投稿。

そのツイートとは一枚の写真とともに「なぜ情シス（情報システム担当者）が社員を信じることができなくなるか教えてあげよう」と書かれたもの。写真にはカフェのような店内にある一人用の座席にノートパソコンが開いたまま置かれた光景が写っており、パソコンの持ち主と思われる人の姿はありません。どの点が問題かおわかりでしょうか。

何故情シスが社員を信じることができなくなるか教えてあげよう

↓これです pic.twitter.com/DYoPWGeTWp

— とある@一馬力コンサル会社社長 (@eccentricia) March 14, 2022

答えは「パソコンの画面をロックせず放置してあること」。

Twitterユーザーからは「もはやヒューマンエラーとかいうレベルじゃねえｗ」「リテラシー低い人にパソコンやスマホを貸すのは怖い…」と怒涛のようなツッコミが。おまけに、かばんも置きっぱなしでパソコンごと持ち去られる危険すらある状態に「いろんなアウトが詰め込まれている」という指摘もありました。

なぜ情シスが社員を信じる事が出来なくなるのかがよくわかる写真がこちらです「もはやヒューマンエラーとかいうレベルじゃねぇｗ」

また「喫茶店やファミレスにもこういう人がいるなあ…」とつぶやく人も。強固なセキュリティが施されているとしても、それらを使う人がリテラシーを養い、セキュリティ意識を高く持たなければすべて台無しになる、ということがよく理解できるツイートといえるでしょう。

まとめ

セキュリティにまつわる事件についてのツイートやその反応を見ると、どんなに備えがあったとしても、最終的には使う人の判断と行動がすべて。個人レベルでセキュリティ意識を高く持てていないからこそ、同じような事件が何度も起きてしまうのかもしれません。

この連載は毎週月曜日に更新しています。今後もTwitterでバズった、あるいは興味深いトピックを解説していきます、お楽しみに！

この記事は誰でも「オススメ」できますので、お願いいたします！スキ、マガジン登録も嬉しいです！