/

6割が「パスワード流用」 ネットの安全、利用者意識にも課題

米情報セキュリティー大手シマンテックの日本法人(東京・港)は30日、個人や企業のパスワード管理がずさんだとする調査結果を公表した。会員制ウェブサイトなどを利用する際に必要なIDとパスワードについて、多くの消費者が同じものをあちこちで「使い回し」ている実態が浮き彫りになった。銀行など金融関連の複数サービスで同じIDとパスワードを使っていたのは全体の15%に及ぶ。悪意のある犯罪者による不正アクセスが続く中、消費者の意識を根本的に変えない限り今後も被害が増え続ける可能性が高いことが分かった。

ログインが必要なウェブサイトは増える一方

人や企業のパスワード管理のずさんさについて説明するシマンテックSSL製品本部SSLプロダクトマーケティング部の安達徹也上席部長(30日、東京・港)

シマンテックが調査したのは全国の18~59歳の男女300人。まず「パスワード漏洩の被害を受けた経験はあるか」との問いには、「自分自身や知人が被害を受けた経験がある」と答えた人が10%。「被害に遭いそうになった経験がある」と答えた人も19.3%いて、約3割がネット上の不正利用について危険を身近に感じている。

普段利用しているウェブやスマートフォン(スマホ)向けのアプリでログインする必要があるサイトの数についても尋ねた。答えは「1~4個」が26.3%、「5~9個」が29.3%、「10~19個」が23.7%だった。5割近くが複数のIDとパスワードを管理しなければならない羽目に陥っている。

1つのパスワードを使い回す理由は、覚えられないから。IDやパスワードを記憶できる個数について聞くと52.3%から「2~3組なら記憶可能」という答えが返ってきた。「1組なら記憶可能」(11.7%)と足しあわせると、約7割の人にとって覚えられる数は3組以下。とても10や20近いウェブサイトで個別のパスワードを使い分けることは現実的ではない。中には「1組でも記憶しておく自信がない」消費者も6%いた。

3割のユーザーが自分自身か知人が、パスワード漏洩の被害を受けたり、受けそうになったことがあるという(シマンテック提供)

とはいうものの消費者は常に不正にパスワードを使われる危険性と隣り合わせにいる。8月にはサイバーエージェント「Ameba(アメーバ)」で不正にログインされる事件が起こり、被害は24万件以上のIDに及んだ。ほかにもグリーや楽天などでも同様の不正アクセスが発覚した。事件は増加の一途をたどっている。

なぜIDやパスワードが犯罪者にばれたかというと、大半が「パスワードリスト攻撃」を受けたためだと見られている。犯罪者はあるサイトで不正にIDとパスワードのリストを取得すると、これを使って連続自動入力プログラムなどでほかのサイトでもログインできないか試みる。複数サイトで同じIDとパスワードを使い回していると、簡単にさまざまなサイトにログインされ個人情報を短時間に一網打尽で取得されてしまいやすい。

攻撃の標的になりやすい金融関連のサービスで「4種類以上のパスワードを利用している」のはわずか8.2%、「すべてのサイトで異なるパスワードを設定している」模範的な消費者も29.4%にすぎない。つまり残りの「1種類のパスワードをすべてのサイトで利用している」(15.1%)と「2~3種類のパスワードを利用している」(47.3%)を合わせた6割の消費者は、3つ以下のパスワードで使い回しをしている可能性がある。パスワードリスト攻撃で簡単に"撃破"される可能性が高いのだ。今回の調査をまとめたSSL製品本部の安達徹也上席部長は「使い回しは深刻な事態」と警鐘を鳴らす。

約半数がパスワードを「頭で覚える」

6割のユーザーが、金融・決済サービスで1~3種類のパスワードを使い回している実態も明らかになった(シマンテック提供)

明らかになった問題はもう一つある。「パスワード管理ソフトを利用している」人はわずか7.3%だったことだ。55.9%と最多だった答えはIDやパスワードを「記憶している」というもの。つまり数種類のパスワード併用を勧めてもそれを管理する土壌がまだ整っているわけではない。「いちいちサイトごとにパスワードを変えるのは面倒だと考えており、(パスワードを変えろと言って)対策してくれるのは意識の高い人に限られる」(安達上席部長)のが現状だ。

攻撃を受ける側の企業のウェブサイト管理者に対しても調査を行った。300人にパスワードリスト攻撃を知っているか聞いたところ、58.3%が「よく知っており、脅威を感じている」とした。「よく知っているが、特に脅威を感じない」(16%)と合わせると、約75%が攻撃の存在を承知しているといってよい。

ただ有効な対策が立てられているわけではなく、かつ使う側もパスワード管理ソフトが浸透していない実態を踏まえることが今後肝心になる。「企業は利便性を損なわずにIDやパスワードを管理できるようにすべきだ」(安達上席部長)

シマンテックは使い捨てのパスワードを使って安全性を高める「ワンタイムパスワード」やスマホなどの機器1台1台をチェックして不正アクセスをブロックする「デバイス認証」などさまざまなサービスを提供中。調査結果を公表することで、企業が消費者の現状を正しく踏まえた対策を打つように訴え、自社サービスの拡販に結びつけたい考えだ。

(電子整理部 鈴木洋介)

初割ですべての記事が読み放題
今なら2カ月無料!

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン