相次ぐパスワード漏えい問題 筆者が考える対策は「覚えるのをやめる」だった：半径300メートルのIT

先日、ディスクユニオンがパスワードを含む、オンラインショップで登録された個人情報が流出したと発表しました。私たちが利用するサービスのセキュリティレベルは一見判断しづらい部分です。これに向けてどう対策を講じればいいのでしょうか。

[宮田健，ITmedia]

　レコードやCD販売事業を手掛けるディスクユニオンは2022年6月29日、オンラインショップで住所や氏名、メールアドレス、パスワードなどの個人情報が最大70万件漏えいした可能性があると報告しました。クレジットカード情報については保有しておらず「漏えいの可能性はございません」としています。

ディスクユニオンはオンラインショップに登録した個人情報の漏えいを発表した。本稿執筆時点でオンラインショップはサービスを停止しており、再開は未定（出典：ディスクユニオンのWebサイト）

　情報漏えいインシデントが多発し、「またか」と慣れてしまった人がいるかもしれません。しかし本件は「パスワード」そのものが漏えいしただけでなく、漏えいしたデータのセットがダークWebで公開されているなど、ユーザー側でも迅速な対応が求められる深刻なインシデントだと言えます。

弊社オンラインショップへ登録された「Eメールアドレス」及び「パスワード」と同様の組み合わせで登録されている他社のWEBサービスやログイン情報等につきまして、第三者が容易に推測できないパスワードへの変更（再設定）をお願いいたします。（6/30更新）

（「弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告」より）

ユーザー側からサービスのセキュリティレベルは判断できない　どう対策を講じる？

　今回のインシデントは、恐らくディスクユニオンが平文で保存していたパスワードがそのまま漏えいしたことが大きな問題だと言えます。情報漏えい発生後、SNSでは「Spotify」などの音楽配信サービスで不正ログインが実行されたと報告が挙がっており、既に被害が起きていることが想定されます。

　ECサイトなど個人を対象にしたビジネスを展開する企業が、具体的にどのようなセキュリティ対策を講じているのかはWebサイトからでは判断できません。そのためユーザーは「セキュリティ対策をしてなさそうな企業のサービスを利用しない」といった判断ができないのです。