パスワードを含めた個人情報の漏洩は、サービス提供側の問題とユーザー自身のパスワード管理の問題が、ごちゃまぜになっているような気がします。
中には、不正アクセスの原因はユーザーのパスワード管理にあるとばかりに、定期的にパスワード変更を求めてきたりします。
そのようなサービスを利用していると、パスワードを何度も作成するために、忘れにくい分かりやすいワードになってしまったり、メモを貼り付けるなどの愚かな行為を行ってしまう人も出てきます。
個人情報やパスワードの漏洩の多くの原因は、個人の甘いパスワード管理なのでしょうか?
情報漏洩の原因は?
個人情報の漏洩について、どのような原因が多いのかを調べてみました。
JNSAセキュリティ被害調査ワーキンググループの調査で、新聞やネットニュースなどで報道された個人情報の漏洩事案を集計し、分析した結果が掲載されていました。
データの引用について細かな条件がありましたので、現時点で集計データがある直近2年の結果を見ての感想とさせていただければと思います。
2017年と2018年についてになりますが、ほとんど同じ傾向でした。
誤操作、紛失・置忘れ、不正アクセスがワースト3であり、どれも20%程度でした。
その次に、管理ミスが十数%程度でした。
この結果からみると、個人情報漏洩の多くは、管理側による人的ミスによるものが大半でした。
ユーザーの管理は基本を守るだけ
不正アクセスによる事件は増えてきてはいますが、サービスの管理者がターゲットというのなら理解できます。
しかし、多くのユーザーへの不正アクセスを行うのは合理的ではありません。
それならフィッシングメールをバンバン送った方が、不正アクセスでパスワードを解析するよりも楽で早くできそうです。
ユーザーは、以下の基本を守るだけでも大丈夫ではないかと、個人的には思います。
- 想像されやすいワードを利用しない
- パスワード書いたメモなどを貼り付けない
- 同じパスワードの使い回しを行わない
- パスワードはアルファベットに数字を含める
- 漏洩の兆候があったら即変更する
実際には不正ログイン!?
パスワードを含む多量の個人情報が漏洩し、そこにリストアップされたユーザーが他のサービスでも同じパスワードを利用している可能性があり、それを狙われるということがあります。
つまり、個人情報を入手した悪意のある第三者が、漏洩したリストにあるユーザー情報を利用して、他のサービスに不正ログインを行い、比較的簡単になりすましや、金銭的な被害が広がっていると考えられます。
定期的にパスワード変更を求めるのは?
常識的に考えて、パスワードジェネレータなどのソフトで作成する以外は、パスワードを作成すれば作成するほど、どんどん簡単になるか、何処かに書き出すなど保管する必要がでてきます。
イメージ的にはサービス提供側は、ユーザーに注意を促しているように見えますが、実際にはセキュリティを低下させていることになっている可能性があります。
それならば、どうするのが良いのでしょうか?
安易でない想像されにくい4つのワードの組み合わせ
あくまでも、一つのパスワード作成・管理の方法です。
パスワードは、想定しやすいワードは使わずにアルファベットの大文字や小文字に特殊文字までまぜて作り、定期的に変更するのが良いと言われていました。
しかし、パスワードの研究者によれば4つ単語を並べた方が、それより短く特殊なものより解読が難しくなるとしています。
パスワードを複雑にしてメモを貼るよりも、安易でない想像されにくい4つ程度のワードの組み合わせのほうが、使いやすく不正アクセスされにくい物になります。
まとめ
個人情報やパスワードの漏洩の原因は?
誤操作、紛失・置忘れ、不正アクセスがワースト3であり、どれも20%程度
その次に管理ミスが十数%程度
管理側による人的ミスによるものが大半
ユーザーのパスワード管理は基本を守るだけで良いかも
- 想像されやすいワードを利用しない
- パスワード書いたメモなどを貼り付けない
- 同じパスワードの使い回しを行わない
- パスワードはアルファベットに数字を含める
- 漏洩の兆候があったら即変更する
以下のようにするのが良いという研究者もいます。
想像されにくい4つ単語を並べた方が、それより短く特殊なものより解読が難しくなる。
つまり、これらをミックスすれば良いのではないでしょうか……
コメント