PR

上原 哲太郎 京都大学 准教授

 ネットショッピングやバンキング、オークション、ブログ、SNSからゲームに至るまで、ネット上には数多くのWebサービスが展開されています。これらのサービスの多くは、利用するためにユーザー登録が必要です。ユーザー登録には最低限、個人を識別し認証するためのアカウントの登録が必要です。個人を識別するためのアカウント名(またはユーザーID)には、好きな文字列を選べるか、メールアドレスを使うものが多いようです。そして、その認証にはパスワードを使う、というのが定石です。次々と産み出されるWebサービスを利用しようとするたびに、私たちは、ユーザーIDとパスワードを登録し続けている、と言えるでしょう。

 ところで、情報処理推進機構(IPA)が出版した情報セキュリティ白書2009では、2008年の10大脅威が挙げられています。その内容は以下のURLで公開されているので、ご覧になったことがない方は是非ご一読をお勧めします。

 例年公表されるこの10大脅威において、今年新しく挙がったものの中に「ユーザーIDとパスワードの使いまわしによる危険性」があります。複数のサイトに同じユーザーIDとパスワードを登録する人は多く、いずれかのサイトに登録したアカウント情報(特にユーザーIDとパスワードのリスト)を、不正アクセスやフィッシングによって奪われると、他のサイトへも高い確率で不正ログインされてしまうのです。この脅威は、従来から指摘されていましたが、昨年あたりから日本でも実際の犯罪の手口として流行しはじめました。昨年はいくつかのWebサービス会社が、複数のサイトで同一のパスワードを利用しないよう広く呼びかけています。

 この脅威に対して、ユーザーが取るべき行動は明らかです。最善の手は、利用するすべてのサイトにおいて、別々のパスワードを利用することでしょう。可能なら、ユーザーIDもサイトごとに変えた方がより安全ですが、必須とまでは言えないでしょう(プライバシー保護の上ではユーザーIDを変更することに大きな意味がある場合もありますが、それはまたいつかお話しします)。とにかく、まずはパスワードをサイトごとに変えることが各ユーザーに求められています。