無料Wi-Fiは危ない？ 夏休みに注意するセキュリティ（中編）：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

パスワードは使い回さない

友だちに貸してはいけないモノ

　実は、素人が陥りがちな「パスワード神話」の1つに、「英字小文字、大文字、数字、特殊文字を混在させ、意味のない文字列として8桁以上にすれば、強固なパスワードが作れる」というものがある。

　確かにこれは、「単体」のパスワード――この世に1つだけ――を使う人の場合であれば正しい。しかし実際は、ユーザーがこのように苦労したパスワードが次々に破られている。その理由は、いわゆる「リスト攻撃」にある。

　攻撃者はまず脆弱なWebサイトを攻撃し、そこからごっそりとパスワード情報を入手する。例えば、攻撃者がAさんのパスワード「q7＆Br28％Ym」を知ったとしよう。次に、攻撃者は強固（たいていはお金に絡む）なWebサイトに、AさんのID（もしくはメールアドレス）と入手したパスワードを使い、Aさんになりすましてログインを試みる。

　Aさんは、「せっかく苦労して作った自分のパスワードだから」と、ついついこのパスワードを別のWebサイトでも使いたがる。その結果、苦労して作ったパスワードは「リスト攻撃」にはほとんど意味がないということになってしまう。

ネットバンキングのような利用でもパスワードを使い回してしまう人は多い（情報処理推進機構の調査より）

　実際には、攻撃者はAさんだけを狙い撃ちするわけではない。盗んだパスワードをテーブル化し、それをもとに「辞書攻撃」（頻繁に使われる言葉を使った攻撃）とその応用技（例えばパスワードの後ろに、01、02など数字の連番をあてはめる）を組み合わせて実行し、なりすましをする。だから、絶対にパスワードを他のWebサイトで流用してはいけない。

　ただし例外もある。無料登録で使うようなWebサイト（例えばニュース記事の閲覧のみ）では、万一情報が漏えいして攻撃者がなりすましをしても、そのWebサイトの情報をみることくらいしかできない。つまり、実害は少ないわけだ。こうしたWebサイトなら同じパスワードでも構わないだろう。もちろん、きちんと管理することは望まれるので、安易にしてしまわないように注意したい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。