「あなたのパスワードが流出しています」。筆者はかつて、このセリフを該当者に伝える役目を担っていた。
さまざまなWebサービスから流出したIDとパスワードを組み合わせた認証情報は、アンダーグラウンドマーケットなどと呼ばれるインターネット上の場所で売買されている。攻撃者によっては販売せず、認証情報をそのまま公開しているケースもある。
筆者はこうした認証情報を確認し、組織のメールアドレスを見つけたら該当者に注意喚起をしていた。そのとき、冒頭のセリフを伝えると多くの人は驚き、「どこから漏れたんでしょうか」と聞き返してきた。自分の認証情報が流出したと認識している人が少ない証拠だ。
注意喚起のとき必ず確認してもらうのが、「パスワードの使い回し」だ。同じパスワードを複数のサービスで設定する行為を指す。流出したパスワードを組織で利用していれば、不正ログインを許す要因になる。使い回しがあれば、すぐにパスワードを変更してもらう。
パスワードの使い回しは絶対にやってはいけないこととしてよく知られている。これ以外にも、「パスワードを紙に書いておく」などパスワード管理でやってはいけないことと言われてきたことがある。一方で、パスワードに関連して「複雑で推測されにくい文字列にする」「秘密の質問を正しく設定する」「Webブラウザーの自動入力機能を使う」など、推奨されてきた行為もある。こうしたことは今でもパスワードの“常識”なのだろうか。パスワードの流出状況や不正ログインの攻撃手法を確認し、正しい管理方法を見ていこう。
世界人口より多い、流出した認証情報数
まず、パスワードはどれほど流出しているのだろうか。さまざまなサービスからIDやパスワードといった認証情報が流出したというニュースが飛び込んでくる。総数はどれくらいか。
メールアドレスを入力するとそのアドレスを含む認証情報が流出したかどうかを確認できる「Have I Been Pwned?(HIBP)」というWebサイトがある。ここには、2023年1月時点で120億件以上の認証情報が登録されている。
HIBPに重複した情報が登録されている可能性はあるが、世界人口が約80億人であること考えると、いかに多いかが分かるだろう。Webサービスを使っている人ならほぼ流出していると考えたほうがよい。不安に思うなら、HIBPで試してみよう。
