Netflix、Disney+もいよいよ対策に本腰 「アカウント共有問題」について考える：半径300メートルのIT

動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。

[宮田健，ITmedia]

　以前、日本の有名な音楽グループのドキュメンタリー番組が、「Netflix」限定で公開されるというニュースを見たとき、少し気になってその反応をSNSで検索してみたことがあります。

　そのグループのファン層は非常に若いため、自身でNetflixに契約できないのか、SNSでは「Netflixのアカウントを持っている人、パスワードを教えてください！」といった反応が思った以上に多く、その幾つかは親友同士でアカウントを連携していました。当人同士は仲が良いことの証明といった軽い気持ちでの行動かとは思いますが、こうした現状をどう変えていけるのか頭を抱えた記憶があります。

　そんな話をアイティメディア社内でしていたら、『ねとらぼ』の記者がしっかりと記事にしてくれました。基本的にはほとんど全ての定額制動画サービスがアカウントシェア、つまり「パスワードの共有」を禁じています（2019年の記事ですので現状とは異なる可能性もあります）。

NetflixやDisney+が危険視し始めた「パスワード共有」問題

　アカウント共有問題は既にサービス側も認識して対策が進んでいます。Netflixは2023年7月、日本でもアカウント共有に対する警告を個別に電子メールで送信しており、アカウントは「1つのご世帯内でご利用いただくことを想定」すると明記しています。これは同居人であれば、同じアカウントを外出先でも利用可能ではあるものの、同一世帯ではない人、つまり「第三者へのアカウント共有はできない」ということになります。

Netflixはサービスについて「1つのご世帯内でご利用いただくことを想定」している（出典：NetflixのWebサイト）

　当然ながらアカウント共有は規約ではしっかりと「NG行為」であると明記されているものの、これまでは厳密に対処されていませんでした。サービス提供側からすれば“ただ乗り”されているわけですから、これを防げれば収入の増加につながるはずです。具体的には、同一パスワードで認証されても接続されているIPアドレスなどから同一世帯ではないことをチェックする、セキュリティソリューション的には「リスクベース認証」に近いものを実行するのではないかと予想しています。

　配信サービス「Disney+」を運営するウォルト・ディズニー・カンパニーも同様の動きを見せています。2023年8月9日の決算発表では「パスワード共有の影響は？」という機関投資家からの質問に対し、「2024年から対策を講じる」と回答しています。アカウント共有はサブスクリプションサービスにとってはサービスの核にかかわる問題ですので今後も対策は進むでしょう。

これはまさに「不正アクセス」対策では？

　ただし、これはNetflixやDisney+といった配信サービスだけでなく、ログインが必要なほぼ全てのサービスに関連する話です。規約で縛るのは当たり前ではあるものの、特にコンシューマー向けに展開しているサービスであれば、アカウントが使い回されるリスクを前提に、リスクベース認証に近い「不正アクセス対策」が必要になるのかもしれないという、示唆に富む方向性だと思います。

　IDとパスワードがセットで漏えいするのが当たり前の今、ログインしたいユーザーが本当に契約者なのかどうかを判断し、ログイン時にはパスワード以外の要素もチェックする時代になったのかもしれません。ただ実際これは非常に難しく、多くの場合は「多要素認証」を使って、記憶情報以外の要素で認証を実施することになるでしょう。

　多要素認証もメジャーになってきてはいますが、いまだに対応していない大手ECサイトも多く、サービスが魅力的でも怖くて使えない事業者が幾つかあります。ユーザーからの信頼を得るという意味でもサービス事業者はぜひ不正アクセス対策を講じてほしいと思います。まっとうなエンジニアであれば「さすがにそんなことをする利用者はいない」と性善説で考えてしまいがちな「パスワード共有問題」も現実で起きているわけですから、性悪説を前提にしたサービス設計を考える必要があるのかもしれません。

　どのサービスも最初の段階ではパスワードの共有を許容していたかもしれませんが、本来であればこの部分は厳密にチェックすべきです。実際、私たちが利用するITの範囲でも絶対に漏らしてはならないパスワードを共有せざるを得ないシーンは幾つかあり、例えば自宅で利用している「無線LAN」などは家族でパスワードを共有しています。お子さんのお友達が携帯ゲーム機を持って自宅に来たとき、無線LANパスワードを「共有」している可能性は高いでしょう。その行為に「罪悪感を持て」というのも難しい話です。

　本来パスワードは共有してはならない情報です。これは早い内に理解しておくべきことだと思いますので、そういった教育は、学校だけでなく家庭においても実施していくべきでしょう。強大な敵は「そのくらい問題にならないでしょ？」という軽い気持ちかもしれません。パスワードとは記憶情報そのものであり、それを守るためには「推測できない」「想像できない」「人に話さない」という、非常にシンプルな対策をしっかりと実施することです。

　世の中には「ゼロリスク信仰」が根強くあり、わずかなリスクを許容せず、安全のための仕組み全体を拒否するといった傾向が目立つようになってきたと思います。その割には、キャッシュカードの4桁暗証番号だけでお金を守れるのだろうかといったリスクには目が向きません。恐らくそれこそが“人間”なのでしょうが、バランスの悪さを理解しつつ、少しでも改善していかねばならないのも人間の生きる道だと思います。

　ひとまず目指すのは「子どもたちに誇れるパスワード管理」を大人が実施することかと思っています。ファイルサーバや管理コンソールでパスワードを「共有」している運用が、2023年こそ排除されることを祈りつつ……。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。