核ミサイルのパスワードは「00000000」

定期的なパスワード変更はかえって危ない

組織によっては３ケ月に１回ほど、強制的にパスワード変更を求められます。しかも前に使ったパスワードは使えず新規に考えなければなりません。定期的にパスワードを変更することでセキュリティの強度をあげたいのは分かりますが、問題は利用者が一つではなく、いろいろなサイトでパスワードを求められていることです。いちいち覚えられないので、パスワードの使いまわしが行われます。

結果、どこか一つのサイトがサイバー攻撃を受けてIDやパスワードが流出すると闇サイトで売買されてしまいます。ソニー、トヨタ、東芝などの社員情報が、大量流出していることが明らかになりましたが、漏れたのは会社からではなく人材紹介サイトや業務依頼を行った取引先のサイトからです。流出規模は合計約16億件で海外の闇サイトで販売されていましたが、現在は公開サイトで提供されています。パスワードを使いまわしていると漏れたIDやパスワードを使って、いろいろなサイトに簡単に入ることができます。

強制的なパスワード変更では、どうせ３ケ月後に変更されるなら、新しいパスワードをいい加減に作る傾向にあり、どこかの１文字だけを順番に変えていくなどのパターンになります。ほとんどの利用者は自分がいつも使っているパスワードの末尾に０や１の数字をつける枝番付をしています。０～９の数字とアルファベットで36回の変更に対応できますが、これって意味があるのでしょうか。

流出したパスワードに枝番をつけて攻撃すれば、すぐ破れます。そこで総務省では「国民のための情報セキュリティサイト」の内容を変更し、パスワードを定期的に変更させるとパスワードの作り方がパターン化し簡単になって、かえって危険と警告しています。またアメリカでも「電子認証に関するガイドライン」を変更しており、世界の潮流は頻繁にパスワード変更を求めるべきではないになっています。

デフォルトパスワードをほったらかしにしていませんか

個人のパスワードだけでなく複合機やウェブカメラのパスワードにも要注意です。複合機を単なるコピー機やプリンターと認識している人が多いのですが実態はサーバーです。複合機の納入事業者から「パスワードがデフォルトになっていますので、後で設定しておいてください」と聞いているはずですが、聞き流しているのか忘れているのかデフォルトになったままの複合機が多くあります。メーカー別のデフォルトIDとパスワードがネットに出回っていますので簡単に侵入することができますし、デフォルトパスワードのままの機器を探せる特別な検索エンジンがあります。

複合機のほかに駐車場の防犯カメラや工場内カメラでも、デフォルトのままでほったかしにされている機器があり世界中から見ることができます。

対策しましょう

パスワード管理ソフトを活用しましょう。面倒なパスワードはソフトが管理してくれますのでサイトごとに複雑なパスワードを設定して全て変えます。サイトにアクセスする時はパスワード管理ソフトに登録されているパスワードが自動入力されます。パスワード管理ソフトを起動する時に要求されるパスワードだけ、めちゃくちゃ複雑にし、これだけを覚えればパスワードの使いまわしを防げます。