モバイル系に限らず、GoogleやWindows Liveなど、さまざまな「クラウド」サービスの利用が広く使われています。しかし、こうしたクラウドのサービスというのは、インターネットに接続したサーバーが実現するサービスです。ここを攻撃する不逞の輩は、少なくありません。むしろ、普通の企業サイトや個人サイトなどよりも、激しく攻撃されているといってもいいでしょう。
こうした攻撃の中には、適当なユーザー名のリストを使い、辞書を使ってパスワードを片端から試してみるというのもあります。こうした攻撃は、一見、効率が悪そうですが、実際には効率は低くありません。なぜなら、攻撃する側は、弱いパスワードを使っているユーザーが見つかるなら、それが誰でもいいからです。また、世間の多くの人は、ユーザー名やパスワードを他のサービスと共通で使う傾向があり、どこか1つのサイトで、ユーザー名、パスワードのリストが漏洩してしまうと、こうしたクラウドサービスを含む他の著名サイトにこれを使って攻撃をしかけます。
クラウドサービスでは、多くの場合、ユーザー名とメールアドレスが一致していることが多く、ユーザー名のリストは比較的簡単に手に入ります。例えば「@gmail.com」というメールアドレスを使っているユーザーは、すべてグーグルのユーザーです。すると、不逞な輩の誰かが辞書を使って、パスワードを片端から試すかもしれません。そして、結果としてダメだったとしても、この辞書ではダメだったという記録をどこかに残すかもしれません。そうなれば、他の不逞な輩は、更新された辞書、あるいは別の辞書を使うでしょう。
つまり、もうパスワードだけでは、ダメなのです。パスワードが多少強力でも、アカウントが不正アクセスされるかどうかは時間の問題でしかありません。あなたのアカウントがクラックされる危険性は、一刻一刻、上昇していくといっていいでしょう。
文字の組み合わせはそれこそ無限にありますが、まったく意味がなく、大文字小文字、数字、記号を混在させていて十分長い「耐性の高い」のパスワードを使う人は多くありません。覚えやすいパスワードほど、辞書攻撃などにより、クラックされやすくなるのです。しかも、こうした意味のないパスワードを複数のサイトで別々にしているとなると、尋常ではない「記憶力」が必要です。もちろん、パスワードを記憶し、場合によっては自動入力してくれる「パスワード管理」ツールなどもありますが、クラウドサービスでは、パソコンだけでなく、モバイル機器などさまざまなプラットフォームで利用します。このため、パスワード管理ツールが利用できない、利用できてもパスワードは手入力の必要がある機器が出てきます。そうなると、人は危険と分かっていても、ついつい覚えやすいパスワードを使ってしまいがちです。
ではどうしたらいいのでしょうか? いくつかのサービスでは、単純なパスワードと別の認証方法を併用するようになっています。例えば、マイクロソフトはWindows 8でWindows Liveのサービスを統合しましたが、パソコンを信頼できるものとして認証させないと、パスワード情報などの自動同期機能が働かないようになっています。これは、パスワードとは別に、個々の機器を認識し、サービスのアクセスに特定の機器であることを確認する方法です。同様の機能はFacebookなども持っているようです。
では、メールなどさまざまなサービスのあるグーグルはどうでしょうか? こうした状況に対して「2段階認証プロセス」(以下、2段階認証と略す)という方法を提供しています。もし、この記事を読んで多少でも不安になったら、すぐに2段階認証に切り替えることをオススメします。そうでなければ、あのときシオダに言われてすぐ切り替えれば良かったと「いつかは必ず後悔」することになります。それが来年なのか、20年後なのかは「神ならぬ身の知るよしもなし」ですが、いつかはそのような日が来ます。
残念ながら、この記事を読んで2段階認証に切り替えた人は、何も起こらないので筆者に感謝することはないでしょう。どうせなら読者のみなさんが後悔するよりも、感謝してもらいたいところなんですが……。なお、感謝の気持ちはいつでも受け付けております。もちろん、気持ちだけでなく、形のある物でも結構です。
