宅ふぁいる便
宅ふぁいる便と言う老舗のクラウドサービスのサーバーから個人情報が大量に漏洩した事件。
ボクは、このブログでも、ずーっと前から、サービスごとに異なるパスワードを使おうと書き続けています。
例えば、Twitter、Facebook、Instagram、Dropbox、Evernote、iCloudを使うなら、それぞれ異なる6種類のパスワードを作ろう、と言うコトです。
10個のサービスなら10種類の異なるパスワード。
しかも、できるだけ長いパスワード。
自分の誕生日の数字4桁なんて問題外です。一番やってはいけないパスワードです。
ボクは、1個1個のサービスごとに、そのサービスの上限の長さのパスワードを設定しています。
例えば、パスワードの長さの上限が32文字なら、32文字のパスワードを設定しています。
もちろん、まったくデタラメな文字の組み合わせ。
当たり前ですが、ボク自身、パスワードなんて覚えていません。
なので、1個1個のパスワードを管理するために、専用アプリが存在するわけです。
ボクは、1Passwordと言うアプリを使っていて、そこに、各サービスのパスワードを保管しています。
本人による対策に限界がある
今回、宅ふぁいる便は、ログイン用のメールアドレスやパスワード、氏名、生年月日などの情報が暗号化されていなかったため、それらの情報が盗まれました。
例えば、宅ふぁいる便とFacebookで、同じメールアドレスと同じパスワードを使っている人は、今回の情報漏洩によって、情報を盗んだ犯人によって、Facebookにも簡単にログインされてしまうわけです。
もし、宅ふぁいる便とFacebookとで、別のパスワードを設定しておけば、今回の事件があっても、Facebookにログインされる心配は無いわけです。
Twitterでも同じパスワードを使っていれば、当然、Twitterにもログインされてしまいます。
InstagramでもDropboxでも。
今回の事件で、二次被害がどんどん発生するでしょう。
だから、上記に書いたように、パスワードを複数のサービスで使い回してはいけないんです。
100個のサービスを使うなら、100とおりの複雑なパスワードを作る。
これが個人でできる最大の二次被害対策です。
ところで、サービスごとに異なるパスワードを設定していても、それで防げるのは二次被害だけ。
今回のように、そもそも、宅ふぁいる便のような、非常に危険なサービスだった場合、個人情報の漏洩は防げません。
せめて、宅ふぁいる便が、データをきちんと暗号化していれば、データが漏洩しても第三者が解読するのは難しいんですが、宅ふぁいる便を運営するオージス総研と言う会社は、セキュリティ意識の低い会社だったようです。
だから400万件をはるかに超える個人情報が、誰でも読めるデータのまま漏洩してしまったんですね。
しかも、恐ろしいコトに、退会済みの会員のデータまで漏洩したと言う話です。
この会社、退会済みのユーザーデータを破棄していなかったんですね。
信じられないですね。
オージス総研。この会社の他のサービスにも、関わらないように気を付けたいと思います。
世の中には、こんなふうに、ある程度、規模が大きく社会的信用が得られていると思われる会社が運営するサービスですら、セキュリティリスクがあります。
そのために、パスワード以外の認証方法がいくつか存在します。
例えば、二段階認証が有名ですよね。
メールアドレスとパスワードでログインを試みると、さらに次の暗証番号が求められる方式です。
次の暗証番号は、ワンタイムパスワードが使われるコトが多いですね。
自分の携帯電話宛にSMSで送信されて来るパターンや、スマホのワンタイムパスワード生成アプリを使うパターンがおなじみです。
これって、確かに安全性は飛躍的に上がります。
第三者がどこかでメールアドレスとパスワードでログインしようとしても、携帯電話を持っていなければ、ワンタイムパスワードを知るコトができないからです。
ボクも主要なサービスでは二段階認証を設定していますが、それはつまり、ボクが使っているiPhoneがボク本人の所有物であるコトを意味します。
もしボクがiPhoneを紛失してしまえば、逆に面倒なコトになります。
二段階認証によって、ボク自身が自分が使っているサービスにログインできなくなるからです。
スマホによっては、指紋認証や顔認証があります。
指紋や顔は本人しか持ち得ないので、確かに安全ですが、ケガや加齢などで指紋や顔が原型と変わってしまう可能性もあります。
その場合の処理も面倒です。
まとめると、問題は2つ。
- 第三者にログインされないように認証を工夫する必要があるコト。
- 第三者にログインされても情報が第三者に読めないよう対処するコト。
前者が、二段階認証などの対策。
後者が、サービス業者が行うべき対策。宅ふぁいる便は後者ができていませんでした。
前者は、パスワード管理アプリなど、ユーザーに委ねる部分が大きいですが、さっき書いたとおり、デメリットもあります。
また、1Passwordにしても、そもそも1Passwordアプリを開くためにパスワードを入力するか指紋もしくは顔認証が必要です。
そのパスワードがバレてしまえば、1Passwordアプリ内の情報が漏洩です。血の気が引くレベルです。
しかも、1Passwordアプリ自体のパスワードは本人が記憶しておく必要があります。
パスワード管理アプリを開くためのパスワードだけは本人が覚えておく必要があるので、複雑なパスワードを設定しにくい。
まさに、最大の矛盾をはらんでいます。
そう考えると、ベストなセキュリティ対策って無いんですよね。
- スマホのようなツールは紛失リスクがある。
- 指紋や顔は変形リスクがある。
- パスワード管理アプリのパスワードは本人が覚える必要がある。
誰か、これらをクリアできる方法、思い付きませんか?