もはや「バレないパスワードはない」 7億7300万件データ流出事件、対策はあるのか?
先週、大変気になる見出しが、「ITmedia エンタープライズ」を含む各紙で踊りました。「7億7300万件の情報が流出し、闇フォーラムで流通していたのが発見された」というのです。
とはいえ、大量のデータ流出を報じた記事を目にすると、最近は逆に疑ってしまうようになりました。というのも、こうしたケースで流出した情報は、“大量”とはいえ出所不明だったり、大昔のデータが含まれていて実際の影響は少なかったりする例もあるからです。しかし、「今回もその手合いか?」と懐疑的な視点で記事を読み始めた私は、「トロイ・ハント」の名前を見て、事件の深刻さを一瞬で理解しました。
トロイ・ハント氏と言えば、海外では著名なセキュリティ専門家であり、必ず知っておきたい大変有用なWebサイト「Have I Been Pwned」の運営者でもあり、信頼できる情報筋だと私は判断しています。Have I Been Pwnedは、これまで流出したメールアドレスやパスワードを同氏が収集してデータベース化し、ユーザーが自分のアドレスが被害に遭っていないかどうか検索、確認できるようにしたサイトです。
本稿執筆時点で、同サイトには、実に64億7402万8664件もの流出アカウントが記録されています。今回発見された7億7300万件の情報も、既に登録済みとのことですので、今回の件が気になる方はまず、このサイトに自分のメールアドレスを入力し、確認してみると良いでしょう。
さて、今回の事件による被害は、報道されている「7億7300万件」という数字を実質的に上回る可能性も指摘されています。一体どういうことなのでしょうか?
●今回はまだ序章に過ぎない?「Collection #1」という名前が示すインパクト
トロイ・ハント氏は、「Collection #1」と名付けられた今回の流出情報について、ブログ記事にまとめています。記事によれば、今回の情報は、もともと26億9281万8238行のメールアドレスとパスワードのセットとして見つかったとのこと。同氏がそれを整理して個々のメールアドレスを抽出し、7億7300万件のデータに絞ったそうです。パスワードも2122万2975件が抽出され、こちらもHave I Been Pwnedに登録されています。
これらの情報は、さまざまなWebサイトから集められており、その中には同氏自身のメールアドレス、パスワードすらも含まれていたそうです。(ただし、今は使っていない古いパスワードであったとのこと)。
また、今回の事件は、さまざまなセキュリティ関連ブログでも取り上げられています。
そして不穏なのは、その「#1」という表現。著名なセキュリティジャーナリストのブライアン・クレブス氏が運営するブログ「Krebs on Security」の記事では、今回見つかった情報の他にも、「Collection #2~5が存在する」と報告しています。
このコラムでは度々、Have I Been Pwnedを紹介していますが、取り上げるたびに登録されている情報の件数が増えており、「もはやID、パスワードは秘密でも何でもない情報になってしまった」という印象を強めています。2019年は、ユーザー側はもはや「Webサイトの秘密情報は漏れているかもしれない」という前提の下で、身近なものを守っていく必要があるでしょう。もちろん、サイトを運営する側も同様です。
では、私たちユーザーが、今から確実にできる対策をご紹介しましょう。
●対策は“いつもの”基本2ケ条!
私たちが採るべき対策は何でしょうか。これも毎回同じことを言っていますが、まずは「パスワードの使い回しをやめること」です。しかし、それだけでは精神論、根性論になってしまいますので、できる限り「パスワード管理ソフト」に頼ることをお勧めします。
例えば、Have I Been Pwnedは、パスワード管理ソフト「1Password」と連携しており、もし漏えいが発覚した場合には「Watchover」という機能がアラートを挙げてくれます。トロイ・ハント氏自身も1Passwordのユーザーで、ブログ内で推奨しています。
また、Have I Been Pwnedとも連携している「Firefox Monitor」を使えば、自分のメールアドレスが情報漏えいの対象になっているかどうかを判定できます。
・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス
とはいえ、パスワード管理ソフトを使うという行為は、一般ユーザーにとってまだハードルはかなり高いようで、知名度から考えても、普及したとは言いにくい状況です。周囲にユーザーがいれば、10分くらいデモをしてもらえば簡単に理解できるでしょう。ただし、そういったチャンスがない人には、パスワードを覚えずに使い回しを防げる方法――すなわち、アナログな「メモ」を推奨します。
「今さらメモなんて」と見くびるなかれ、メモならば“流出”すれば物理的になくなるので、すぐに分かります。記憶だけに頼るよりは安全で、トロイ・ハント氏もブログ記事に「アナログなものも活用すべし」と記しています。
一方、「2段階認証」は徐々に当たり前になってきました。これまでならば「万が一」の事象だったパスワード漏えいが、“千が一”“百が一”といった頻度になったいま、2段階認証こそが最後の壁になります。設定が可能なWebサービスも増えました。GoogleやApple ID、Facebook、Instagram、Twitter、Amazonなどの各種サービス、そして決済が簡単に行える日本の携帯電話事業者のIDなどは、必ず2段階認証を設定しておきましょう。それこそが、私たちに今確実にできる対策です。