セキュリティガバガバお嬢様と学ぶ、本当は怖いパスワードの使いまわし：ITお嬢様の今日も分かりませんわ〜！（2/3 ページ）

[ITお嬢様の召使いたち，ITmedia]

なんで私のアカウントが乗っ取られるんですの！？

ITお嬢様

いーや、おかしいですわよヨシカワ。私の使ったSNSで最近漏えいがあったなんて話は聞きませんわ。

ヨシカワ

ところがどっこい。気にすべき場所は他にもあるんです。あえて極論を伝えますが、仮に単一のIDとパスワードだけを使いまわしてると、全アカウントに乗っ取られのリスクがあります。

ITお嬢様

ひえっ。でも、どうして？　SNSのパスワードは私しか知りませんのに。

ヨシカワ

お嬢様、SNSではない他のサービスで、最近漏えいがあった話は聞きませんでしたか？　もちろんお嬢様が使ってるやつです。

ITお嬢様

そういえば、お詫びのメールがきていたような……。

ヨシカワ

それです！　パスワードの認証って、本当にIDとパスワードしか見ていないので、他人が入力しても入れちゃうんですよ。つまり、漏えいしたサービスと同じID・パスワードを使いまわしていると、他のサービスにも不正ログインされる可能性があります。

ヨシカワ

だから情報漏えいが起こったとき、住所とか名前が漏れることももちろん怖いんですけど、IDやパスワードが漏れることも怖いんですよね。「リスト型攻撃」につながるので。

ITお嬢様

りすとがたこうげき。

ヨシカワ

サービスAから漏れたID・パスワードの組み合わせを使って、サービスBで不正ログインを試みる攻撃のことです。仮にパスワードを使いまわしていると、真っ先にこれでやられる、という。

ITお嬢様

ははぁ。使ってるサービスで漏えいがなくても、よその情報を基にアカウントに不正ログインされる……と。

ヨシカワ

こいつの厄介なところは、いくらサービスBがセキュリティを強化しても、サービスAのセキュリティがボロボロなら意味がないところです。ユーザー側で自衛するしかない。

ヨシカワ

とはいえ、基本的にパスワードは暗号として保存されるので、漏えいがあったとして簡単には知られない……はずなんですけど。

ITお嬢様

なんでそんな急に弱気な言い方になるんですの！？！？

ヨシカワ

暗号にする処理が甘くてすぐ元に戻されてしまったり、暗号にしないで保存してたりといったことがちょいちょいありましてぇ……。

ITお嬢様

え、ダメじゃありませんのそれ。

ヨシカワ

ダメです。でも特に新興サービスとかってセキュリティがおろそかになりがちなんですよね。だからほんと、自衛が大事です。