とある企業の情報システム部門。そこで元気一杯に働いているのが、ちょっと頼りない若手社員、通称「ネコSE」だ。豊富なセキュリティの知識を持つ「センパイ」に日々、鍛えられている。今日はパスワードの話題をきっかけにして、本人認証の方法を勉強だ。

ネコSE:先輩、大変です。漏れてしまいました。

センパイ:猫瀬君、唐突だね。ズボンを濡らしてしまったのかい?

ネコSE:いえいえ、パスワードですよ。お気に入りの動画投稿サイトの運営者から、パスワードが漏れたと連絡が来たんです。

センパイ:もし他のサイトで同じパスワードを使っていたら、すぐに変更しておくようにね。

ネコSE:どうしてですか?

センパイ:他のサイトにも勝手にアクセスされてしまうからだよ。攻撃者は、漏洩したパスワードのリストを使って、ログインできるかどうかをいろんなサイトで試すんだ(図1)。これをリスト型攻撃と呼ぶ。

図1 リスト型攻撃の例
あるサイトで漏洩したIDとパスワードのリストを使って他のサイトへの不正ログインを試みる攻撃をリスト型攻撃と呼ぶ。図中の「qwerty」はパソコンのキーボード配列の名前で、よく使われるダメなパスワード。
[画像のクリックで拡大表示]

ネコSE:えーと、パスワードって何のためにあるんでしたっけ。

センパイ:本人かどうかを確認するためさ。パスワードは本人しか知らないはずだからね。

ネコSE:そうでした。本人しか知らないはずのことが、他人に知られていたら本人確認にならないですね。なりすまされちゃう。

センパイ:そうだね。だから、漏れたパスワードを使い続けてはいけないんだ。

ネコSE:とはいえ、パスワードを使い回さないって難しくありませんか?私が使っているサービスは10個じゃ収まりません。

センパイ:現実的な方法もあるよ。一つはパスワードのリストをファイルで管理することだね。

ネコSE:表計算ソフトとかテキストエディタとかでファイルに記録するということですか?

センパイ:漏れちゃ困るリストだから、そのリストにパスワードを設定するとよいね。リストを開くためのパスワードは、マスターパスワードとして覚えておこう。

ネコSE:マスターパスワード以外は覚えなくてもよいということですね。

センパイ:そうだね。パスワードを管理するための専用のソフトやサービスもあるよ。ただ、そうしたサービスが不正アクセスを受けて情報が漏洩したという事故もあった。いっそのこと、ノートに手書きでメモして鍵付きの引き出しに入れておくほうが、漏洩する危険性は低いね。

ネコSE:意外ですねー。アナログのほうが安全とか。

センパイ:くれぐれも、パスワードをメモした紙は人目に付く場所に貼っておかないようにね。

ネコSE:うっかりやってしまいそうだなー。

センパイ:ある会社がテレビ局の取材を受けて、社内の様子がテレビに映ったことがあるんだ。そのときにSNSのIDとパスワードが書かれたメモが映ってしまった。しかもSNSのサービス名までわかっちゃう状態だったんだよ。

ネコSE:ひええ。ひどい事故だ。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら