ANAの不正アクセスで「もう一度考えたい」パスワードのはなし(その1)
先日のJALに続き、ANAも不正アクセスにより、勝手にマイレージの交換等が行われていたようです。貯めたマイルがなくなってしまうことも問題ですが、交換できる(ログインしている)状態では、 搭乗記録はもちろんのこと、会員の住所含めた登録情報までも見たり、変更できたりと、本人と同じことが出来てしまいます。ログインした状態なので「当たり前」のことですが。。。
ANAマイレージクラブに不正ログイン マイルをiTunesコードに不正交換される被害
ANAマイレージクラブは、10ケタのマイレージ番号と、数字のみ4ケタのパスワードの組み合わせでログインでき、ログインすると氏名や住所、電話番号など登録情報の確認も可能だ。再発防止策として同社は、パスワードの強化を含む恒久的な対策を検討するとしている。
先日のJAL(「JALマイレージバンク」不正ログイン問題、数字のみパスワードの強化策を「検討中」)は、強化策を考えているようですし、、今回のANAも同じようになるでしょう。
ここ最近パスワード漏洩系の事件が多発しています。洩れた(フィッシングなどは漏らしてしまった)パスワードで、不正にアクセスされてしまった。。。文字で書けば「こうなります」が、カギを無くして、盗られて、入られたと考えれば、カギをかけることが必要な場所(書庫とか家ドアなどなど…)と変わりません。物理カギと文字パスワードの違いだけです。
南京錠とカギ、ログインとパスワード、ハンバーガーとポテト。。。必ずセットで使われます。カロリーが高いので、ポテトは食べないようにしています(笑) 南京錠とカギは、それを使う場所によって「その重要性」はかわります。例えばスーツケースに使う場合と、もっと厳重なところなどです。場所は変わっても、そのカギが使える南京錠は1個しかありません。
一方でログインとパスワードは、ログインする場所(PCの起動時、サイトの認証等)によって、パスワードが違うはず(セキュリティ上よろしくありませんが同じかも知れません)
今回のケースで考えると、サービス提供者と利用者になります。不正にアクセスされた場合、どうにも回避できないのが、先のパスワード漏洩系です。ごっそり持って行かれているので、組合せはバレバレです。この場合サービス提供側に問題があります。
今回は漏洩系ではないようですが、パスワードを数字の4-6桁で使うのならば、もう少し考えた方がいい。しかし、数字パスワードの利点は、電話機などの数字だけ端末でも使える事です。どちらかと言えば、利用者に合わせた形だと思います。本当はフルキーボード入力のようなことをさせたいのでしょうが、利用者のセキュリティ意識が追いついていません。1234とかのパスを使っていても、こんな事件が起きれば大騒ぎになります。
サービス提供者は、セキュリティ意識の低い利用者であっても、パスワード管理は自己責任ということで、利用者を選びません。これ別なサービス、例えば仕事上取引先と共同で利用するネットサービスのパスワードならば、セキュリティ意識が低いのですみません。。。とはならないでしょう。利用者を選ぶこと(取引企業の選別)をしますよね。
利用者は、漏洩系の場合、サービス提供者を選ぶ(変える)ことくらいしかできません。漏洩系でない場合は、パスワードの選定も、管理も自己責任において行われます。忘れない数字パスワードが中々思いつかないので、つい安易なものに走りがちです。それらは「他の場面」でも利用していたりするので、バレる可能性が高くなります。
パスワードは、個人情報を守ってくれる砦でも何でもない。いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。わたしたちは、デジタルの世界で自分の身を守れるのか?(本誌『WIRED』VOL.8より転載)
昨年の夏の記事ですが、バレてるものと認識しなければなりません。
サービス提供者、利用者ともに考えなければなりません。どうもパスワードの話を何度しても、向上していかない場面を多く見ます。
よくブログにも書きますが、家ドアに数字キーがあって、4-6桁の数字さえ入れればドアが開くとすれば、利用者側も少しは考えると思うのですよ。その番号突破されれば、ドア開きますから・・・
パスワード関連の過去ブログ:
ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」
パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法
パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!
数字パスワード以外にも共通しますが、パスワードの具体的な作り方や、管理方法等の、実用的なことを伝えないままに、パスワードを強化!とか、無理な話です。強化するための方法を知らなければ、なにもはじまりません。
自分で管理することが出来る「唯一の砦」として、パスワードの見直しをして下さい。それしか出来ないのですから・・・
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。