Winnyで情報漏えいを経験した企業 改めて調査したところ……：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

　筆者が思うに、日本で一番に被害が多いパスワードの侵害は、隣人による「のぞき見」（ショルダーハッキング）である。

　仮にあなたが講師なら、まずはこう切り出す。「入力する際には周囲に注意を払い、例え信頼している人でも上司でも、あなたの側にいるなら、入力しないように心がけてほしい」。そして、事例も交えてみながら、次のように解説する。

　「先日も実際に某企業でこの点がいかに重要であるか分かる出来事があった。課長が犯人だったが、彼は部長のパスワードを盗もうとしたが、8ケタの情報を全てのぞき見で把握するのは難しいと考え、最初の3けたに絞ってのぞき見をした」

　実際行ってみると分かるが、数回のぞき見をすると最初の3文字程度ならすぐに知ることができる。この課長は、残りの5けたをクラックツールで解析してから犯行に及んだ。なお、8ケタ全てをツールで調べるとすれば、高性能PCでも1年くらいかかる。その組合せは約70の8乗（約576兆通り）にもなる。3カ月に1回はパスワードを変更するようにしている企業が多いのは、こうすることで強度が保たれるからだ。

　しかし最初の3けたが分かれば、あとはクラックツールだけで平均1分24秒もあれば、残りの5文字が判明してしまう。カップラーメンの待ち時間3分の半分にも満たない。これではどうしょうもないが、これが今のパスワード方式の限界でもある。

　「お分かりですか？　1年近くかかる時間がたった最初の3文字がのぞき見されただけで、1分強にまで短縮されてしまう。こうなっては、もうパスワードではないのです」と告げてほしい。

　だからこそ、「会社を守るために企業は全力でセキュリティを高めないといけない」と強調すべきである。たった1人が「自分くらいいいだろう」と思った瞬間に、その企業の防衛力は極めて低下する。全員が必至に防御すること。これが今のサイバー攻撃に対する最高の防衛策にもつながる。ここまで話ができれば一応及第点となる。

　啓蒙教育はこういう気迫でもって行い、受講者全員の目を講師に向けさせるしかないのだ。筆者は、いつも「受講者が眠くなったら講師の負け。受講者が目を輝かせて帰れば講師の勝ち」と肝に銘じている。受講者に「ツマラナイと思っていたが受講して良かった」と言わせることができれば、受講に費やした貴重な時間も大いなる価値に変わるだろう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。