パスワードの使い回しリスク
ログインIDとパスワードを要求するサービスは会社の中も会社の外も溢れ返っている。使うのは一人の人間だから、会社の中も外もあったものではない。IDパスワードを覚えきれるものではない。メモに記載するなとあれば、IDパスワードの使いまわしは必然の道。
朝日新聞デジタルがパスワード使い回しの実態をレポートしている。ヤフーのサイトが攻撃される状況が変わってきている。以前は手当たり次第のパスワードでのアタックが中心だったが今はぴったし的中のパスワードで侵入してくる。IDパスワードが分かっているのだ。何故か。使い回ししているから不正取得が容易になっている。
一見真面目な適当なフリーのサービスサイトを作って任意のログインIDとパスワードを入力させる。天気予報でも、渋滞情報でも、株価情報でも、何でも良い。ぼろを出すような不真面目は決してやらない。特別な魅力を持つサービスにすることもない。そのIDとパスワードはきっと使いまわされているものに違いない。それを使えば他でも必ず利用できる。
フリーのサービス登録時にどうしてこんな情報まで要求するのか分からないことが多いが、魂胆はこういう背景があることも。本人認証を確実にするために多くの情報を要求していると信じている人はお人よしだ。
結局、一人の人間が利用するネットサービスの数が3桁で収まらないこともある。実際に使いIDパスワードの数は1桁が関の山だろう。其の一つを騙し取るのだ。これはフィッシングサイト、偽者サイトではない。詰まらない内容レベルだけど普通にサービスを提供しているのだから。
.*.
ISMSの視点?
企業のISMS推進者は何をするべきか。
- 会社で使われるパスワードは他所で使うなとお達しを出す?。手ぬるいですが経営者の責任として明確に要求することは必要です。
- 社内のログインシステムの単一化と強化?。パスワードの桁数、文字種類、変更頻度の管理も徹底する。
- 的中型攻撃への監視と対策。誰のIDパスワードが漏れたかを追跡すること。悪質な場合は懲戒も必要。一人のミスが会社を危機に陥れるリスクを呼び込むのだから厳しい対応は止むを得ない?。
