ホーム » IT・セキュリティ » パスワード管理の落とし穴 絶対にやってはいけない3つのコト(とおっさんの教訓)

パスワード管理の落とし穴 絶対にやってはいけない3つのコト(とおっさんの教訓)

仕事でお会いした女性と会話しているうちに、こんな話に発展しました。
「へー、滝澤さんはITコンサルタントなんですね。それって何をする仕事なんですか?」
「ひらたく言うと、ITに関連する相談を受けて、解決策を一緒に考える仕事ですね」
「そーなんだー。じゃあ、あたしの相談も聞いてくれます?」
「有料ですよ」
「かんたんなことですから。お願いしまぁーす♪」
「しょうがないなぁ。いいですよ、なんですか?」
女性の頼みごとにはめっぽう弱い私のことです、渋い顔はポーズだけで、内心では大喜びで話を聞くことにしました(^^)
「Gmailのパスワードがわかんなくなっちゃったんです〜」
なんだ、楽勝じゃないか。
私は軽い気持ちで、そのドツボにはまり込んでいったのでした。

◎パスワードの復旧ができない?

多くのWebサービスには、「パスワードリセット」機能がついています。登録時に管理用メールアドレスを登録しておき、パスワードがわからなくなった場合にはそのメールアドレスあてに再設定手順を送り届けてくれる機能です。
この機能を使えば簡単……と思いきや、女性からは驚きの言葉が返ってきました。
「登録しておいた管理用のメール、もう見られないんです」
「はい?」
「ケータイのメアドを登録したんですけど、その後で機種変しちゃって。あたし、2年ごとにキャリアを変えてるんです。そのほうがおトクでしょ♪」
ぬぁっ……。
変えた時はそのアドレスを登録しているサイトも全部変更しなきゃ、とか、そもそもそんなに頻繁に変更しないアドレスを使うべきでしょ、とか、さまざまな小言が頭に浮かびましたが、わたしは言葉を飲み込みました。
Gmailを使うためのGoogleアカウントには、管理用メールアドレスが使えなくなった場合のパスワードリセット機能もあったはずです。
「ここから、いくつかの質問を答えていくと、パスワードがリセットできると思います。私もやったことないから、どういう質問が出てくるかわからないですけど」
「やってみまーす。一緒に見ててもらっていいですかぁ?」
「仕方がないなぁ」(←ちょっと嬉しそうなバカ)
画面には秘密の質問「ペットの名前は?」が出てきました。そこからつまずきます。
「カタカナにしたっけ? アルファベットで打ったっけ? おぼえてないなぁ……」
次はGoogleアカウントの取得時期。
「え〜っ? そんなのおぼえてるわけないよ〜!」
登録していたことのあるメールアドレス。
「機種変前のメアドなんて、おぼえてないよ〜。むりむり!」
と、すべてのステップでつまずきました。
もちろん、てきとうに入力した情報がマッチするはずもなく、リセットは失敗に終わりました。
「しばらく使ってなくて重要な情報も残ってないようだから、このアカウントは諦めて捨ててしまって、新しくとりなおすほうがてっとりばやいですね」
そうアドバイスすると、彼女から驚愕の一言が。
「そうですねー。誰かに勝手にパスワードを変えられて乗っ取られてから、ずっと使ってなかったし。もう、いっかなー♪」
……はい? 今、なんと?

◎アカウント乗っ取りの恐怖

実際にアカウント乗っ取りの被害にあった経験のある人は、けっこうな数にのぼると思います。
ですが、その多くが、乗っ取られた個別のアカウントだけの問題だと誤解しがちです。
現実問題としてどのような影響のひろがりがあるのか、ここで解説しましょう。
今回の彼女のGoogleアカウントを例にして、以下の情報が登録されていたと仮定します。
管理用メールアドレス:abcdefg@i.softbank.ne.jp
Gmailアドレス:hijklmn@gmail.com
秘密の質問と回答:ペットの名前は?/ジョン
パスワード:1234567890
彼女のパスワードをなんらかの手段で破った不正アクセス犯は、次に他のサービスへの侵入を試みるはずです。

・代表的な無料メールアドレスへのログイン試行

無料で登録できるメールアドレスはGoogle以外にもあります。たとえばiCloudをターゲットにするのであれば、「abcdefg@iCloud.com」と「hijklmn@iCloud.com」に、パスワード「1234567890」でログインを試みます。もしも、@の前が共通のメールアドレスを同じパスワードで登録していれば、一発で侵入されてしまいます。

・代表的なSNSへのログイン試行

今度はメールではなく、SNSがターゲットです。登録済みの「abcdefg@i.softbank.ne.jp」「hijklmn@gmail.com」をIDとして、パスワード「1234567890」でログインを試みます。

・さらにさらに!?

ほかにも、メールアドレス+パスワードでログイン可能なWebサービスはたくさんあります。
パスワードが違っていたとしても、メールアドレスや秘密の質問と回答が使い回されているサービスがあれば、パスワードをリセットすることで不正ログインができるかもしれません。
もしもSNSの侵入に成功したとすると、そこに登録している情報から住所や友人たちとの私的なやりとりを盗み見られるかもしれません。
Facebookのように共通のIDで他のサービスにログインできる機能を提供しているSNSが乗っ取られたら、その影響範囲はどこまでも拡大していきます。
こうした内容を説明したところ、彼女から衝撃の告白が。
「そっかー。だからiCloudもログインできなくなっちゃったんですねー」
……おいおい(^^;)

◎対策は……?

彼女がとるべき対策は、ひとつしかありません。
同じパスワードを登録している可能性のあるネットサービスを巡回して、片っ端からパスワードを変更してまわるのだ。
そのことを伝えると、彼女はひとこと。
「えー面倒くさいですよー」
「じゃあ、ショッピングサイトとかで、登録されているクレジットカード情報を使って勝手に注文されたら?」
「それはこまる〜」
「じゃあ、誰かがあなたになりすまして、友人たちに変なメッセージを送ってもいい? たとえばお金をせがむとか」
「やですよ〜」
「じゃあ、SNSの写真を見て一方的に盛り上がった男かがあなたの住所にまでやってきたら?」
「こわっ」
「だったら、パスワード変更はしたほうがいいです」
「滝澤さん、なんとかしてくださいよ〜」
「いや、あなたのパスワードを私が管理するわけにはいかないですから」
「なーんだ。ITコンサルタントっていっても、たいしたことないですね」
…………。
ぎゃふんっ。

◎本日の教訓

・パスワードの使い回しは超危険。全部別々にはできなくても、メールアドレスのパスワードとWebサービスのパスワードは別々に。一緒、ダメ、絶対!
・乗っ取り被害にあったら他のサービスも含めてすぐにパスワード変更を。変更しない、ダメ、絶対!
・いざというときのリセットのために、管理用メールアドレスは常に使えるものを。使えないメアド、ダメ、絶対!
・おっさんのスケベ心は怪我の元w

以上、お粗末さまでした(^^;)


コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください