パスワードを絶対に使い回してはいけない理由

2018年12月11日

1つのパスワードを何にでも使い回すのは楽ですが、とんでもなく危険でもあります。どのくらい危険なのか、若手デザイナーのマークの身に起きたことを見てみましょう。

マークは、どこにでもいる普通の人です。日常的にメールを使い、FacebookとInstagramを使っています。Amazon、eBayなどショッピング関係のアカウントを10個以上持っていて、ゲーム好きなのでSteamとBattle.netのアカウントもあります。お気に入りのビデオゲームのフォーラムにも参加しています。アカウントはすべて、マークのメールアドレスにひも付けられています。

あるとき、顧客データベースの情報流出が発生しました(誰でもアクセス可能なサーバーに、暗号化されない状態で保存されていたようです)。流出元となったオンラインストアには、マークもアカウントを持っていました。データベースにクレジットカード情報は含まれていませんでしたが、メールアドレス、氏名、パスワードが漏洩しました。見たところ、特に心配することはなさそうです。こういった情報流出は起きるものですし、そもそも小さなオンラインストアの店主がサイバーセキュリティの専門家ではないからといって、責めることができるでしょうか。

しかし、このデータベースを手に入れたサイバー犯罪者たちは考えました。データベースに載っている顧客の中に、メールアカウントにも同じパスワードを使っている人がいるのでは?ビンゴでした。マークは同じパスワードをあらゆるところで使っていたので、サイバー犯罪者はマークのメールアカウントに、あっさりアクセスできました。アカウントにログインしたサイバー犯罪者が見つけたのは、マークがルーシーに送った写真だけではなく、AmazonやeBayなどさまざまな企業からのメールでした。もしや、AmazonやeBayのアカウントにも同じパスワードを使ってはいないか?マークのAmazonアカウントにログインしてみると、またしてもビンゴです。同じパスワードが使われていました。

Amazonのアカウントにクレジットカードが登録されているのに気付いたサイバー犯罪者は、早速iPhone Xを数台購入しました。次はFacebookです。サイバー犯罪者たちは、Facebook上のマークの友達に、こんなメッセージを送ります。「今どうしてもお金が必要なんだけど、貸してもらえないかな。明日は給料日だから、絶対にすぐ返す。お願いします」。メッセージを受け取った人の何人かは実際にマークの友人で、お金を送金してくれました。もちろん、送った先は、マークになりすましたサイバー犯罪者の口座ですが。

しかし、これで終わりではありません。サイバー犯罪者たちは、アクセス可能なアカウント(マークの場合、持っているアカウント全部ということになります)のパスワードを変更していきました。

Facebookの友人の一人が何か怪しいと思い、お金を無心したのが本当にマークだったのか確かめようとマークに電話しました。驚いたマークは慌ててコンピューターを開き、Facebookのパスワードを変更しようとします。しかし、パスワードはサイバー犯罪者によってすでに変更されていたため、ログインできずにはじかれてしまいました。マークはパスワードのリセットを試みます。しかし、リセット用のメールが届いているはずのメールアカウントにも、同じ理由でアクセスできませんでした。

マークは、完全にハッキングされたことを悟りました。銀行に電話をかけ、クレジットカードを停止し、まだ悪人の手に落ちていなかったいくつかのサービスのパスワードを必死の思いで変更し、友人に電話をして、金を貸してくれと頼んだのは自分ではないことを説明しました。すでに送金してしまった友人には謝罪し、すべて返金すると約束しました。

今後は同じパスワードを複数のサービスで使い回すことは絶対にしない、とマークは固く心に誓いました。それから、今後は2段階認証が使えるならば必ず有効にすることも。