パスワードは「123……」でいいの？ 管理者が“少しずつ”変えるべきこと：破られ方は4つ（4/6 ページ）

[辻 伸弘（SBテクノロジー），ITmedia]

パスワードの鉄則とその根拠

　「パスワードってそんなに流出しているの？」とピンとこない方もいらっしゃるかもしれませんが、実は筆者が収集したものだけで重複はあるものの30億件程度のIDとパスワードのリストを所有しています。

　筆者は、セキュリティの調査・分析のために収集していますが、入手はそれほど難しくはありません。それは攻撃者にとっても同じです。他にもさまざまなブラックマーケットが存在していて、いわゆるダークウェブといわれるようなところで、金額もそこまで高額ではなく売買されています。

　自分のパスワードが流出しているかを知る手段の一つとして、「Have I Been Pwned（ハブ アイ ビーン ポウンド）」というWebサイトがあります。過去の流出データが数多く登録されていて、自分のメールアドレスを入力するとどういった件で流出が認められているか判断してくれるというものです。2024年5月15日時点で13,137,301,752アカウントと、かなりの情報量が登録されていることが分かります。

　メールアドレスを毎回入力するのが面倒であれば、「Notify me（ノーティファイ ミー）」という機能もあり、自分のメールアドレスを登録しておくと流出が認められた際にお知らせしてくれる機能もあります。

　他にもシステム管理者の方であれば、自組織のドメインを登録することができる「Domain search（ドメイン サーチ）」という機能もあります。登録方法は、本人確認などがあるため「Notify me」よりも多少ハードルが高めではあります。

　登録方法は、筆者のブログ（「Have I Been Pwned」のメールアカウント漏えい通知サービス「Notify me」と「Domain search」登録メモ）で紹介していますので、よかったら参考にしてみてください。