とある企業の情報システム部門。そこで元気一杯に働いているのが、ちょっと頼りない若手社員、通称「ネコSE」だ。豊富なセキュリティの知識を持つ「センパイ」に日々、鍛えられている。今日はパスワードの話題をきっかけにして、本人認証の方法を勉強だ。
ネコSE:先輩、大変です。漏れてしまいました。
センパイ:猫瀬君、唐突だね。ズボンを濡らしてしまったのかい?
ネコSE:いえいえ、パスワードですよ。お気に入りの動画投稿サイトの運営者から、パスワードが漏れたと連絡が来たんです。
センパイ:もし他のサイトで同じパスワードを使っていたら、すぐに変更しておくようにね。
ネコSE:どうしてですか?
センパイ:他のサイトにも勝手にアクセスされてしまうからだよ。攻撃者は、漏洩したパスワードのリストを使って、ログインできるかどうかをいろんなサイトで試すんだ(図1)。これをリスト型攻撃▼と呼ぶ。
ネコSE:えーと、パスワードって何のためにあるんでしたっけ。
センパイ:本人かどうかを確認するためさ。パスワードは本人しか知らないはずだからね。
ネコSE:そうでした。本人しか知らないはずのことが、他人に知られていたら本人確認にならないですね。なりすまされちゃう。
センパイ:そうだね。だから、漏れたパスワードを使い続けてはいけないんだ。
ネコSE:とはいえ、パスワードを使い回さないって難しくありませんか?私が使っているサービスは10個じゃ収まりません。
センパイ:現実的な方法もあるよ。一つはパスワードのリストをファイルで管理することだね。
ネコSE:表計算ソフトとかテキストエディタとかでファイルに記録するということですか?
センパイ:漏れちゃ困るリストだから、そのリストにパスワードを設定するとよいね。リストを開くためのパスワードは、マスターパスワードとして覚えておこう。
ネコSE:マスターパスワード以外は覚えなくてもよいということですね。
センパイ:そうだね。パスワードを管理するための専用のソフトやサービスもあるよ。ただ、そうしたサービスが不正アクセスを受けて情報が漏洩したという事故もあった。いっそのこと、ノートに手書きでメモして鍵付きの引き出しに入れておくほうが、漏洩する危険性は低いね。
ネコSE:意外ですねー。アナログのほうが安全とか。
センパイ:くれぐれも、パスワードをメモした紙は人目に付く場所に貼っておかないようにね。
ネコSE:うっかりやってしまいそうだなー。
センパイ:ある会社がテレビ局の取材を受けて、社内の様子がテレビに映ったことがあるんだ。そのときにSNSのIDとパスワードが書かれたメモが映ってしまった。しかもSNSのサービス名までわかっちゃう状態だったんだよ。
ネコSE:ひええ。ひどい事故だ。