PCやスマホ初心者に告げたいこと、「ネチケット」を賢く学べ！ その2：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

パスワードは実印以上に重要です

　メールIDや会員ID、ネットバンキングのID、オフィス端末のID、ネット通販のID……。一人で何十種類ものIDを持っていると思う。クレジットカードなど財布に入っているカードの種類より多いのが普通だ。

　これらのIDを使う場合に、「本人です」という証拠として入力するのが「パスワード」である。このパスワードは極めて重要であるにもかかわらず、安易に使っている人があまりにも多い。これも、今までその重要性が教育されてこなかったからではないだろうか。

　よく有識者は「教えなくたって重要性は十分に分かるはず。そんなのは当たり前でしょう」と言われる。その重要性が分かっているはずの有識者でも、パスワードを安易に使ってしまう兆候は昔からあった。

　実際に筆者が経験した例では、銀行の支店長経験者が本部勤務時に平気で女子行員に通帳とカード、そして暗証番号を教えて、「今日中に3万円を出金してきて！」というシーンを週に何回も目撃した。昭和の時代であり、今では明らかにコンプライアンスに抵触する行為なのでそういうことはないとは思うが、昔はその程度の配慮しかなかったのである。今のこの時代に、人前ではさすがにこんなことする人はいないだろう。

　だが、物事の本質はそんなに変化するものでもない。今の若い人は小学生の頃からメールやネット通販を経験しても、パスワードの本質は理解していないということを痛切に感じた出来事があった。数年前に某上場企業でセキュリティの実態調査をしたときのことだ。

　結論からいうと、業務のOA端末でパスワード利用を会社の指示通りにしている人は、9割に満たなかった。啓蒙教育では従業員数千人のうち1人でも脆弱なら、攻撃者はそこから入り込む。「絶対に会社の指示通りにパスワードを作成してください」「違反者にはペナルティがあります」と口を酸っぱくして言っていたにもかかわらずだ。

　当時、人事部や役員の了解を得てパスワード解析ソフトを使い、内容を解析したら、なんと1分以内でパスワードの判明したものが1.7％、2分なら4.1％もあったのである。統計学上ではこういう人が出現する確立は、1分なら0.01人未満、１時間でもせいぜい1人いるかいないかという状況だったので偶然というわけではなかった。

　しかも、その運用にもさらなる大きな問題があった。ネチケットという「紳士協定」を作成するつもりが、職員のあまりの常識の無さに取りあえず「ネチケット集」を延期して、「絶対に守ってください」という小冊子をわざわざ作成したほどである。

　本稿でパスワードの重要性を再度説明する余裕はない。筆者が言いたいのは、ネチケットであり、パスワードを入力する際には「実印を人前で押す」時の慎重さ、用心深さを持ってくださいという、自分を守るためのネチケットである。

　なぜだか、ご理解できるだろうか。「パスワードが盗まれるから」――この認識では十分ではない。実は、推奨パスワードの多くが8けたであり、その数が問題なのだ。通常では8けたなら全ての組合せが約576兆通りである。だから、これらをランダムに解析すると、1秒間で1000万回解析可能な高スペックのPCなら平均0.9年もかかる。だが入力時に、隣でチラチラと盗み見（ショルダーハッキング）されて最初の3けたが知られたとする。数学上は残りの5けたを解析すればいい。すると、平均でカップラーメンの待ち時間の半分程度（1分24秒程度）で解析されてしまう。

　インターネットの登場で日々の生活が素晴らしく便利にはなった。しかし、その便利さゆえ、人間の本能で危険と考えられる領域は逆に狭められてしまっている。ぜひこのことを再認識して、職場でのパスワード入力を慎重に行ってほしい。これがあなたの身を助けるネチケットの第二弾である。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。