「誕生日をパスワードにしないで」――政府機関が注意喚起 芸能人のメールのぞき見事件で

[ITmedia]

　今年11月にタレントの押切もえさんのメールやクラウドサービスをのぞき見した男性が逮捕された事件を受け、情報処理推進機構（IPA）は12月21日、SNSで公開している誕生日などをパスワードに設定しないよう注意を呼び掛けた。

SNSなどで公開している情報からパスワードを推測する

　事件は、押切もえさんなど女性芸能人のメールアカウントやクラウドサービスに不正にログインしたとして、日本経済新聞社員の男性が11月30日に逮捕されたもの。報道によれば、男性は女性芸能人の誕生日やニックネームなど、ブログやSNSに公開されている情報からパスワードを類推したという。

　IPAによれば、誕生日など推測されやすいパスワードを避けて設定しているユーザーは年々減少傾向にある。「2016年度 情報セキュリティの脅威に対する意識調査」では、回答者の約半数がパスワードに誕生日などを利用していたという。

誕生日など推測されやすいパスワードを避けて設定しているユーザーは年々減少傾向（情報セキュリティの脅威に対する意識調査より）

　IPAは、ブログやSNSのユーザーに対し「プロフィール情報から誕生日などを不特定多数に知られていると考えるべき」と注意喚起。プロフィール情報を公開していない場合でも、アカウント（ユーザーID）に使っている数字、誕生日会の様子に関する投稿などから、誕生日を推測される可能性もあるとしている。

　忘れたパスワードを変更するときに使う「秘密の質問」の答えも、ペットの名前や出身校など、SNSに公開している情報を使うべきではないという。

パスワードや秘密の質問の答えとして推測されやすい情報の例

　11月の事件では、女性芸能人が身に覚えのないパスワード変更の通知を受け取ったことで事件が発覚したという。IPAは一般ユーザーに対しても、パスワード変更やログインしたことをメールなどでユーザーに知らせる通知機能や、パスワード以外の情報も入力が求められる「2段階認証」などの利用を呼び掛けている。