「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由

「二段階認証知りません」より怖いこと
西田 宗千佳 プロフィール

パスワードを突破するもう1つの方法

7payのようにパスワードリセットのしくみがお粗末ではないサービスでも、「IDとパスワード」だけではセキュリティは心もとない。

「パスワードリスト攻撃」とよばれる方法で突破されることがあるからだ。

パスワード管理の理想は、自分が使っているすべてのサービスで、つねに「他人に類推されない」、かつ「それぞれに異なる」パスワードを使うことだ。だが、これはかなり難しい。

人間の発想力(他人に類推されないパスワードをいくつも思いつく力)と記憶力(それぞれに異なるパスワードを忘れずに憶えておく力)には、限界があるからだ。

 

昔から「定期的にパスワードを変更すべき」と言われてきたが、これにも無理がある。アカウントを利用するウェブサービスが激増している今、すべてのパスワードを定期的に変更し、ちゃんと憶えていられる人などそうはいないからだ。

結果的に、人間はどこかで妥協してしまいやすい。複数のサービスで同じパスワードを使い回したり、思いつきやすいシンプルなパスワードを使ってしまったりする。

そうした行為を「危険だ」と指摘するのは簡単だ。しかし、日常的にいくつものサービスを使って生活しているなかで、我々人間の記憶力に限界がある以上、「理想的なパスワード管理」を続けられない瞬間が必ず訪れる。

悪意ある人々は、その瞬間を突く。

ネットサービスから漏れたIDとパスワードの組み合わせや、広く使われやすいパスワードを集めた“辞書”を使って、本来は知られてはいけないパスワードを見つけ出し、本人になりすましてしまうのだ。

このような手法が、「パスワードリスト攻撃」だ。簡単でありふれた、しかしきわめて有効な不正アクセス方法の1つである。

【写真】悪意ある人々は管理し続けられない瞬間をついてくる
  悪意ある人々は、「理想的なパスワード管理」を続けられない瞬間をついてくる photo by gettyimages 

パスワードが突破されても安全を守る方法

あらゆるウェブサービスは、つねにこうした攻撃に晒(さら)されている。

7payではパスワードリセットが狙われたが、おそらくパスワードリスト攻撃も仕掛けられていたはずだ。繰り返しになるが、パスワードという「1要素のカギ」だけに頼るのは、そもそも危険なのである。

そこで、セキュリティを守るために多くのサービスが導入しているのが「多要素認証」とよばれる考え方である。

文字どおり、1つの要素に頼るのではなく、本人を特定するための複数の要素を組み合わせることで、仮にパスワードが突破されたとしても、他の要素によって悪用者のなりすましを防ごうというしくみだ。

ここまでに使ってきた「二段階認証」という言葉は、一般に「ID・パスワード」に加え、別の要素で認証を行い、認証プロセスを2段階にすることを指す。しかし、同じようなパスワードを2回入力するのでは意味がなく、本来は「2つの別の要素」で認証する必要がある。

そのため、本当は「二要素認証」であることが望ましい。ここからは、より意図が明確な「多要素認証」という言葉に統一して説明することにしよう。