パスワード管理

ECサイトのパスワードに迫る危機

2019年6月14日の日経新聞に、「ネット取引パスワードの罠」という記事があり、そこには、企業はセキュリティを強化することをためらっているとのこと。パスワードが盗まれる方法や、自己防衛の方法などを併せて解説してく。普段、パスワードを複数のサイトで使い回している方は、その危険性を知って欲しい。

まずは、記事の内容を要約しておこう。

ユニクロやNTTドコモなどのECサイトが相次いで不正侵入を許し、氏名や住所、購入履歴などが盗まれており、中には不正に商品を購入されてしまう被害も増えている。 日本だけでも2,000万件のIDやパスワードが流出されているとされ、これらは海外のファイル共有サイトで容易に入手できるという。 セキュリティを強化するために、生体認証やパスワードを2段階に設定するなどの対策を取りたいが、その結果としてログインが煩雑になるため顧客が離れてしまうことを恐れて強化することをためらっているとのこと。

この記事の本質

非常に残念な事実から伝えておこう。IDやパスワードは、もはや盗まれるものと理解して欲しい。ネット上で100%安全なパスワードなどないのだ。

この記事から読み取れることは、大企業であってもIDやパスワードは盗まれるし、新しい認証方法が導入されるスピードも期待できない。もはや、悪意のある者なら高度な知識がなくても不正アクセスができてしまう時代なのだ。

では、我々はインターネットでの買い物や情報サービスを諦めるしかないのか?いいや、防衛策はある。インターネットが普及し、せっかく便利になったのに、それを手放してしまうのは惜しいことだ。

まずは、どのようにIDやパスワードが流出してしまうのか?そして、我々のできる対策方法を解説していこう。

IDやパスワードが流出する方法は3通り

  1. 安易なパスワードは推測されてしまう
  2. 関係者がお小遣い欲しさに個人情報を売ってしまう
  3. セキュリティの穴を突いた不正侵入

些細な違いはあるが、パスワードを盗む方法は主に上記の3通りに集約される。一つずつ順番に手口を説明しながら、対策方法も挙げていこう。

安易なパスワードは推測されてしまう

もはや説明するまでもないことだが、推測されやすいパスワードはNGだ。例えば、銀行のATMでは未だに4桁の数字でパスワードを管理している。非常に甘いセキュリティと言わざるを得ないのだが、財布と一緒にカードを紛失した場合を想定して欲しい。

免許証や保険証、会員カードなど財布の中にはあらゆる情報が詰まっているため、誕生日や電話番号などの個人情報を知られてしまう可能性が高い。これらは4桁の数字のヒントとなってしまう。

これはインターネットも同じことだ。インターネットの世界は特別と考える人が多いが、実際はそうでもない。私は仕事柄、これまでに数万のメールアドレスを見てきたが、メールアドレスに「名前+誕生日@~」を使っている人は非常に多い。メールアドレスを見ただけで誕生日というヒントを与えてしまっているのだ。

他にも、辞書に載っているような英単語、キャッチーなフレーズなどもNGだ。世の中にはパスワードを推測するための「辞書」と呼ばれるキーワード集があるのだ。また、「辞書」に載っているキーワードを順に自動入力していくプログラムも存在する。そのため、安易なパスワードは時間をかければ当てられてしまう可能性がある。

パスワードには、キーワード集に載らないような、意味のないアルファベットと数字の組み合わせが望ましい。せめて、誕生日を自分のものではなく、家族のものにアレンジするなどの工夫をして欲しい。

関係者がお小遣い欲しさに個人情報を売ってしまう

2014年に「進研ゼミ」や「こどもちゃれんじ」を運営するベネッセから個人情報が流出した事件があった。これは、社内調査の結果、ベネッセのグループ企業に勤めていた派遣社員がデータベースから3,500万の個人情報を持ち出したことと判明している。

すでに周知の事実だが、個人情報はお金になるのだ。名前、性別、生年月日、住所、メールアドレスや購入履歴など、そういった情報には商品価値があり、数千件、数万件のリストとなれば、高値で取引されているのだ。

もしあなたが、そのようなリストを持つ会社や、下請け会社で働いていたとしたらどうだろう。「ちょっとした出来心」でお小遣い稼ぎをしたくなる衝動に駆られてしまいはしないだろうか。

誤解のないように補足すれば、派遣社員や契約社員が悪いのではない。今の仕組みが悪いのだ。人手不足を賄おうとして、海外から安く使える人材を集めようとする政府の方針がどうかしている。海外からの安い労働力が入ってくれば、経営者は安く使える方を選ぶだろう。結果として日本人も安い給料でないと仕事が見つからなくなってしまうのだ。

正当な報酬、安心できる社会制度、これらがちゃんと機能していれば、リスクを犯して顧客の個人情報を売らなくても生活は維持できる。本人の倫理観に依存してしまう面も否めないが、安定した生活は犯罪の発生確率を抑える効果がある。

我々にできることは、選挙を通して日本人が安心して働ける雇用形態を実現してくれる候補者へ投票することだ。そして、今は前世紀とは違い、自分の意見を広めてくれるSNSがある。ダメな議員は落選させ、イイ議員を当選させる影響力を持っている。これらのSNSを活用し、投票にも足を運ぼう。

セキュリティの穴を突いた不正侵入

3つ目の点に関しては、残念だがあまりできることはない。セキュリティに関する高度な専門知識を持った人材のみ、不正侵入や対抗策を立てることができる専門分野になるからだ。

個人情報を取り扱う企業が、セキュリティ対策をおろそかにせず、いかに人材や設備に投資ができるかどうかにかかっているのだ。

ただし、セキュリティ対策に大量のお金をつぎ込んだとしても、不正アクセスを100%防げる保障はないという事実がある。経営する側にとっては、90%までやるのか、80%辺りで妥協するか、悩ましところだと思う。

日々発見されるセキュリティの穴に対して、資金も人材も有限だから、この点に関しては、企業の努力に期待するしかないのだ。

当面は文字のパスワードが主流のままになる

以前より、こまめにパスワードを変更することが望ましいと言われてきたが、最近は効果が薄いとのデータも出てきた。覚えにくいパスワードを嫌い、安易で短いパスワードを選びやすくなる傾向があるためだ。

生体認証もなかなか浸透していない。私のスマートフォンにも指紋認証が付いているのだが、感度が悪く、何度も指をこすり付けて時々認識してくれるレベルだ。残念だがこれでは実用性に欠けるため、正直、使いたいと思えない。

金融機関では、USBタイプのワンタイムパスワード生成器や、カード型のパスワード表などアイデアを出してくれているが、使い勝手がいまいちで、痛し痒しといった面も否めないでいる。

当面は、現状の「文字」のパスワードが主流のままになるだろう。文字のパスワードは盗まれるものとして、考えておくことを勧める。長く複雑なパスワードを設定しておくことがベターだが、関係者が流出させてしまっては全く意味がない。

これからの未来は、好むと好まざるに関わらず、インターネットに接しないで生活することはできないだろう。そこから少なからず個人情報は露呈することになる。名前やメールアドレス程度は出しても構わないと割り切ってしまった方が楽ではないだろうか。

私はこうして名前を明かしているが実被害はない。オンラインでクレジットカード決済はするが、引き落し用の銀行口座には少額しか預けていない。銀行が用意しているオンラインでの決済サービスは一切利用せず、銀行へ行って通帳で振替をしている。仮想通貨も信用せず、距離を置いている。

自分でもアナログなことをしていると思うが、参考にして欲しい。もし、今後、オススメのオンライン決済サービスが出てきたら紹介することにしよう。

公表時期 企業 被害の概要

2017年9月 東京ガス ガス・電気料金情報照会サイトが不正に侵入され、のべ百数十件の氏名や請求予定金額が流出した可能性がある。

2018年8月 NTTドコモ 契約者向け通販サイトで、1,800人分のIDを乗っ取った犯罪者が約1,000台のiPhoneXを不正に購入した。 四国電力 会員制サイトが不正に侵入され、149人の顧客が保有する約12万円相当のポイントが流出した。

2019年2月 日本航空 中国籍の男がマイレージを管理するサイトへ不正侵入し、約135万円相当のマイルを不正に利用された。

2019年5月 ファーストリテイリング ユニクロとGUのサイトに不正侵入し、46万件の個人情報が流出した。