興味深いですね。この事故を視点で考えたとき、パスが弱いからダメなんだ！というのは「もちろんそうですが」別な視点から考えてみます。

マクドナルドが使う求人サイトのパスワードが「123456」で応募者情報6400万件が流出:Gigazine

マクドナルドの求人サイト「McHire」に管理者用のログイン画面があり、そこに「123456」というパスワードを入れたところアクセスできてしまったと、セキュリティ専門家のイアン・キャロル氏が報告しました。管理者用のページから応募者の情報を簡単に閲覧できたこともわかっています。

応募者の名前、メールアドレス、電話番号、住所、応募者が記入した希望シフトなどの情報、応募者として求人サイトにログインするための認証トークンなどが漏洩している状態であった

この件、よくあるデフォルトのパスワードが123456だったようです。

1．そんなのデフォルトで提供するなよ！とか、

2．そのまま使うか？とか、

3．これハニーポットか？

など、逆に怖いように感じます。

弱点を考える

管理者の視点で考えれば、

1．初回設定時にパスワードを変える。

2．他に利用者がいるならば、IDとパスのセットで管理する。

3．定期的にログを確認する。

など、今さら何言ってんの？と言われそうな当たり前のことを当たり前にすることが、まずは最低限のことかと。

他の脆弱性などもありますが、まず管理者が自身で出来ることだけはやっておく、基本の基です。

よくある事例

中小企業で似たようなを管理方法を見てきましたが、

1．誰が管理者か決めてない（わからない）

2．複数人で使っている。

3．利用者の追加はするが、削除をしてない。

こんなの結構多くあるのがヤバイです。

例えば、同じ権限で5人が別々なIDとパスで利用している場合、各自適切なパスワード管理等が出来ていても、1人だけ123456のようなパスを使っていれば、他の4人がどれだけ適切なセキュリティ管理をしていても、セキュリティ強度は一番低いレベルに落ちるのです。

3の削除がされてない人事採用情報を複数人で確認していたケースでは、利用者が複数人いて常に入れ替わりがあり今何人で利用しているかわからないことがありました。利用者の数は増えた分だけ増加していました。

結局、個々の利用者の立場では、こんな状況は見えませんし、あくまでも自身のパスワード管理程度しかできません。

門番がどれだけ弱くてもセキュリティ事故は発生するまではおきません。杜撰な管理、これ一番こわいと思います。

いちいち覚えなくてもいいような安易なパスワードは便利に使えますし、面倒な管理もしなくていい…そんなところでセキュリティのトレードオフをしないで欲しいと切に願います。

過去のパスワード関連投稿：「パスワード」カテゴリー

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ