英語では「分け合うことは助け合うこと」ということわざがあるが、そうするべきではない場合もある。本記事では、オンラインサービスに用いるパスワードを、他人と共有するべきではない理由について解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
もしEメールアカウントのパスワードを誰かと共有できるかと問われたら、大多数の人は「絶対にあり得ない」と答えるだろう。しかし、Netflix、Amazonプライム、Spotifyといったオンラインサービスに限るとそうではない。実際のところ、パスワードを共有する人たちは大勢いる。心配し過ぎに聞こえるかもしれないが、そのオンラインサービスのパスワードを他のアカウントでも使い回している場合、危険度が増し、情報漏えいのリスクが高まる。情報漏えいに関するニュースが毎日のように報じられているにも関わらず、一般的なセキュリティ意識が欠けているようなら、サイバー攻撃のリスクについて学びはじめなければならない。その第一歩は、パスワードについて学ぶことだ。
筆者は、オンラインサービスのアカウントをユーザーが友人や家族とどのように共有しているか、また、パスワードを共有していた恋人と別れたり、友人と疎遠になったりした場合、どうしているかについていつも気になっていた。また、ログイン情報をやり取りする方法や、どのくらいの人たちが複数のアカウントで同じパスワードを使い回しているのか、ということにも興味を持っていた。
しかし、筆者にとって最も重要なのは「なぜ人々はこれほどセキュリティを軽視できるのか」という点だ。
この問題について理解を深めるため、筆者はTwitter上で調査を実施し、2,700以上の回答を得た。そこから得られた結果をもとに、人々がどのようにパスワードを扱っているかについて考察したい。
パスワード共有の実態
まず初めに、ユーザーがどのオンラインサービスを使っているかを聞いた。上位2社は当然のように、Amazonプライム(50%)、Netflix(47%)だった。次いでYouTube TV(28%)、Spotify(23%)、残りはNow TV、Disney+、Skyといった具合だ。
次に、オンラインサービスのアカウントを誰かと共有しているかを尋ねたところ、興味深いことに6割が家族や友人など、少なくとも別の一人とアカウントを共有していたのだ。また、3分の1のユーザーは、2人以上の人とサービスを共有していることがわかった。
さらに、家族や友人に対し、どのようにパスワードを伝えているかについても聞いた。驚くべきことに、5分の1以上のユーザーがパスワードを口頭で伝えており、7.5%はEメールやテキストメッセージでパスワードを伝えていた。つまり、パスワードを共有された大多数の人は、周りから見られないように配慮していると思われるが、何人かは自らパスワードを入力し相手に伝えていたのだ。
設問文:どのようにパスワードを他の人と共有していますか?
選択肢:テキストメッセージ、Eメール、口頭で伝える、パスワードを入力する、共有していない
したがって、4分の1の人たちは自らパスワードを漏らすだけでなく、何らかの形で記録としても残してしまっていることになる。パスワードを共有した相手のことをよく知っていれば心配することではないとも思えるが、その相手が考えなしに別の人へパスワードを渡してしまったらどうなるだろうか。例えば、未成年の息子や娘が、あるオンラインサービスを契約していない同級生に対して、家族用のアカウントを共有してしまうケースも考えられるだろう。
事実、パスワード共有について調査する中で、Twitterユーザーがそのフォロワーに対して、Netflixのアカウントを共有してくれないか聞いている例を見つけた。さらに心配なことに、実際にその要望に応えているフォロワーもいたのだ。
misha no 3 weeks at #1 on hot 100 no opinion
「私とNetflixのアカウントをシェアしてくれる人はいませんか?」
Fefe
「私とNetflixのアカウントをシェアしてくれる人はいませんか?どうしても見たいのです。DMください」
Fefe
「私とNetflixのアカウントをシェアしてくれる人はいませんか?どうしても見たいのです。DMください」
naz
「あぁ、アンブレラ・アカデミーのシーズン2が公開になるのか。私とNetflixのアカウントをシェアしてくれる人はいませんか?」
AlwaysHigh
「私とNetflixのアカウントをシェアしてくれる人はいませんか?」
kajja PRODJK
「私とNetflixのアカウントをシェアしてくれる人はいませんか?」
加えて、調査に参加した人のうち1%強が、オンラインサービスを共有している人との連絡が途絶えた経験を持つと回答した。これは、別れた恋人や疎遠になった友人が考えられるだろう。
パスワードの使い回し
さらに問題なのは、14%が複数のアカウントで同じパスワードを使い回している点だ。つまりこれらのアカウントは、犯罪者が容易に悪用できてしまう可能性があることを意味する。
たとえパスワードが「Afeg45t3@4DFew/15f][_}1」といった複雑なものであっても、パスワードは使い回すべきではない。確かに、複雑なパスワードは、攻撃者がソーシャルエンジニアリングやOSINTなどからパスワードを解読しようとする際には有効な対抗策になる。一方、例えばパスワードに子供の名前を使ったり、それほど単純にしていない場合でも、それがインターネット上で複製されていれば、アカウント侵害のリスクは上昇してしまう。
しかしながら、多くの人(52%もの人)がアカウントを共有したいと考え、パスワードを他人に渡す必要があるのも理解できる。複雑なパスワードを打ち込むのが煩わしければ、パスワードマネージャーを利用することで簡単な手順で済む。また多くのユーザーは、テレビ・パソコン・スマートフォン(以下、スマホ)といった複数の機器でアカウントを使いたいと考えているだろう。
そこで、筆者が推奨するのはパスフレーズだ。これは少なくとも3つのランダムな単語を、句読点か数字でつなげる方法だ。この方法なら覚えるのも楽で、入力しなければならない場合でも簡単に打ち込める。また年に1回、オンラインサービスに用いるパスワードを変えるのも良いだろう。パスワード変更により、過去1年間にアクセスできたものの、現在はアクセスするべきではない人(別れた恋人など)の利用を制限できる。
パスワードマネージャーの利用
では、ユニークなパスワードやアカウント情報は、どこに保存すればよいのだろうか。数百ものアカウントを使っていれば、それら一つひとつを覚えるは不可能だろう。そこで、堅牢なパスワードマネージャーが役に立つ。
パスワードマネージャーは安全にパスワードを保管する方法であり、ユニークで複雑な数百のログイン情報全てを記憶する必要がなくなる。パスワードを指定したい場合は、生体認証などでパスワードマネージャーを開き、必要なフィールドにパスワードをコピーし設定することもできる。
ここで前述の調査結果に戻ろう。残念なことにパスワードマネージャーを利用しているのは26%の回答者に過ぎなかった。4分の3の回答者は、安全にパスワードを保管できるという利点を活かさず、アカウント情報を何らかの方法で記憶しているといえる。パスワードを書いて記録しているか、最悪の場合、パスワードを使い回しているのだろう。よく見受けられるのは、大文字にした単純な単語や名称の末尾に数字を付けたパスワードだ。
設問文:パスワードマネージャーを使っていますか?
選択肢:いいえ、はい
テレワークの普及により、私たちは新たな生活様式に慣れ、在宅勤務に適した環境を整備する必要に迫られている。家庭にあるルーターのセキュリティを増強したり、VPNを使ったりするのは、テレワークの安全性を高めるのに役立つ。しかしながら、ほとんどの人がパスワードマネージャーを使っていないのは、驚くべきことだ。パスワードマネージャーは仕事を楽にしてくれるだけでなく、安全性をはるかに高めてくれるにも関わらず。
今日できることが1つあるとすれば、信頼できるパスワードマネージャーをダウンロードして、スマホ・タブレット・パソコンに導入することだ。これらのツールは非常に堅牢であり、アクセスできるのは自分のみだ。導入することで、悪意のある第三者からパスワードを保護できるだろう。