12億件のパスワードが本当に盗まれたのなら、いま何をすべき?

2014年8月7日

New York Timesはつい先日、犯罪集団が10億件以上のパスワードを盗んだと報じました。さまざまなWebサイトから、パスワードのほかにユーザー名やメールアドレスも盗まれたとされています。本件はインターネット史上最大規模の盗難事件に見受けられますが、その詳細はまだ報じられておらず、セキュリティ業界の見方はやや懐疑的です。まず、どのWebサイトが被害に遭ったのか明らかではありません。技術的な詳細についても、情報がありません。パスワードがハッシュ化されていたのか否か、といった、セキュリティの専門家なら誰でも知りたいような情報が出てきていないのです。とはいえ、一般のインターネット利用者にとっては、大きな警鐘が鳴らされたといってよいでしょう。今こそ、何らかの手を打つときだ、と。

パスワード

主立ったインターネットプロバイダーは、今のところ、パスワード変更の通知を送っていません。影響を受けていないのか、エンドユーザーに悪影響が及ぶとは考えていないのか、いずれかでしょう。しかし、今回の件を明らかにした企業であるHold Securityは、被害に遭ったWebサイトの多くは小規模なサイトである、と述べています。小規模なサイトでは、ことが起こったときに従うべきセキュリティ上の手順が厳密に規定されていないことが多く、データ漏洩などが起きたことをユーザーが知らされる見込みは高くありません。

アカウントごとに別々のパスワードを使うことで、被害を最小限に抑えられる

そうした事情を考えると、今回報じられたパスワード盗難事件は、より安全で系統立ったパスワード取り扱いポリシーに切り替えるための好機なのかもしれません。Kasperesky Labの英国シニアセキュリティリサーチャーであるデイヴィッド・エム(David Emm)は、次のように述べています。「自分が利用しているオンラインのサービスでデータ漏洩が起きた場合、利用者側では事態をコントロールできません。しかし、オンラインサービスのアカウントごとに別々のパスワードを使うようにしていれば、被害を最小限に抑えることが可能です」。

アカウントごとに違うパスワードを設定することは、最優先事項です。パスワードは、自分のコンピューターから盗まれるかもしれないし(たとえば、キーロガーなどを経由して)、オンラインサービスのプロバイダーのところから盗まれるかもしれません。肝になるのは、盗まれたパスワードを使って別のアカウントにもログインできるような状態にしておかない、ということです。また、パスワードはそれぞれ強力なものにしておくことも重要なポイント。強力なパスワード、といわれてもぴんとこない人は、パスワードチェッカーを試してみてください。どういう文字の組み合わせが強力なのか、実感できます。

また、重要なアカウント(オンラインバンキングのアカウント、Gmailなど)については、追加手段を講じましょう。重要情報を扱うサイトでは、2段階認証を取り入れている場合がほとんどです。2段階認証を有効にしてあれば、パスワードが盗まれたとしても、そのパスワードだけではアカウントにログインできません。