自分しか知らないはずの暗証番号が使われた

　さて、前回まで2回にわたってご紹介した「記録メディア上のデータ消去」にまつわる話はいかがだったでしょうか。「大丈夫だろう」と思っていたにもかかわらず、実は意外なリスクの可能性が潜んでいたことに、初めて気付いた方もいらっしゃったのではないかと思います。

　今回からは少し方向を変えて、「普段の行動」に潜むリスクとして、パスワードにまつわるお話です。

●注文した覚えのない商品が送られてくる？

　Aさんは都内の大学生。大学合格をきっかけに上京してきました。当時は初めての一人暮らしで慣れないことばかりでしたが、胸には不安よりもむしろ期待でいっぱいでした。

　親からの仕送りやバイト先の給料などの振り込み先として、住まいに近い銀行の口座が必要だったAさんは、引っ越してすぐに都市銀行で預金口座を開設しました。「暗証番号に誕生日などはNG」という話はいろいろな人から聞いていたAさんは、高校時代の出席番号たった2ケタの数字を利用することにしました。ただし、数字4ケタなのでそのままでは利用できません。そこで上2ケタを卒業年度にして4ケタの数字にしました。

　その後、大学生活を送る中で必要になったのでPCを買い、ついでにそのお店でポイントカード付きのクレジットカードも作りました。そのPCで友達に招待されSNSに入会し、古着などを安く入手できると知り、オークションサイトの会員にも登録しました。ネットの便利さを知って勢いに乗ったAさんは、大抵のものが揃っている通販サイトにも登録し、匿名でブログも始めました。

　また、周囲の言葉に従い、学校で配布されるメールアドレスはプライベートには一切使わず、無料のWebメールサービスを使うことにしました。ただ、アドレスはいろいろと覚えるのが大変なので、運良くケータイと同じものが空いていたこともあって、それと揃えることにしました。

　こうして色々と便利なサービスに次々と登録していくのですが、その際に必要となるのが「パスワード」です。最初に作った預金口座の暗証番号は、地元の同級生なら思いつく可能性も万が一にはあるでしょうが、ここ東京ではその数字自体を知っている人などいないはず。そんな安心感からか、Aさんはこれらすべてのパスワードを最初に作った預金口座に合わせ、カード類はすべて同一のパスワードに、それ以外はこの暗証番号の先頭に自分のイニシャル2文字を加えた「英数6ケタ」に統一していました。

　ある日、Aさんの家に、注文した覚えのない小包がいくつか届きました。その小包はAさんが時々利用する通販サイトの包装です。普段は面倒なのであまりチェックしていなかったのですが、その通販サイトの注文履歴とクレジットカードのご利用明細も確認することにし、まずその通販サイトでメールアドレスと暗証番号を入力し、ログインしました。

　すると、サイト上には確かに自分が購入したという履歴が残っています。またカードの履歴もオンラインで同様に調べたのですが、身に覚えのない利用履歴がいくつか出てきました。慌ててカード会社にすぐ連絡したのですが、理由がわかりません。

　数日間これまでの行動を振り返って、ふと思い当たることが頭をよぎりました。それはSNSです。Aさんはいくつかのコミュニティに参加していましたが、その中には「同学年の人が集うコミュニティ」や「同郷の人が集うコミュニティ」があり、そこで自分の昔の話や学校での話など様々なことを楽しく会話していたのです。

　さらに悪いことに、そのコミュニティはオープンコミュニティで、参加者以外も中を覗くことは可能だったのです。また、そこで知り合った大勢の人達とはメールでもやり取りをしていますので、Aさんのメールアドレスを知っている人は1人や2人ではありません。

　コミュニティ内やメールでのやり取りを振り返ると、直接的な内容こそありませんでしたが、ヒントになりそうな会話はたくさんありました。こうした状況では誰が悪いとも言えず、Aさんは全ての暗証番号とパスワードを変更し、「いい教訓になった」と自分に言い聞かせつつも、軽い人間不信に陥ってしまいました。

●パスワードには「可能性の多さ」が必要

　皆さんが生活している中で、PCを使っている時に限らず、いわゆるIDやパスワードの類を使用する機会はとても多いと思います。パスワードというより暗証番号という言い方の方が自然な場合もあるかと思いますが、たとえば銀行のカードで預金を引き出す時にも必要ですし、ケータイにも暗証番号があります。住基ネットのカードを使って役所や出張所で住民票などを自動発行する際にも必要ですね。クレジットカードなどは言うまでもないでしょう。

　また、PCを使っている時では、まずWindowsへのログインに加え、SNSやWebメールサービス、オークションサイト、ショッピングサイトなどへのログインなど、IDやパスワードを入力するシーンは枚挙にいとまがありません。

　これだけ様々なところで用いられているパスワードですが、もしすべてを共通に設定していた場合、万が一の際の被害は想像するのも恐ろしい事態になりかねません。こうした警告は巷でよく言われている話ですが、読者の皆様の中に、その全てに一切共通点のないパスワードを実際に設定している方はいらっしゃいますでしょうか？

　もしそうした方がいらっしゃいましたらそれは素晴らしいことです。しかし現実には、そこまで徹底されている方は少数派なのではないかと思います。実際にそこまでやるのは現実的ではないとして、パスワード全てに「ある種の共通性」があることは確かにリスクに繋がります。ただ、最も問題なのは数字のみのパスワード、特に古くからある「4ケタの暗証番号」を他の全てのパスワードに転用しているケースです。

　この「暗証番号」については数字しか使えず、しかも4ケタ、というのが業界標準（？）です。また暗証番号以外に生体認証が用いられているATMなどもありますが、その安全性については今回とはまた別のお話ですので、今回ここでは話しません。

　暗証番号の類は4ケタの数字という指定をされている場合が非常に多いわけですが、パスワードとしては一般的に英数記号の組み合わせで6ケタ以上を推奨されています。IPA（独立行政法人情報処理推進機構）では8ケタ以上の英数記号の組み合わせを推奨していますね。これはブルートフォースアタック（総当たり攻撃）での破られにくさを踏まえての推奨です。

　ブルートフォースアタックとは、コンピュータを用いて「可能性のある組み合わせ」を順番に片っ端から試して正解を探す手法のことです。演算速度の飛躍的な向上に伴って、この手法の実効性も飛躍的に高まったと言えます。今や「4ケタのパスワードは3秒で破られる」と言われるほどです。

　こうした現状においては、数字のみの6ケタではわずか100万通りの組み合わせしかなく、コンピュータに計算させればあっという間に正解を見つけられてしまうであろうことは想像に難くないでしょう。

　これが英数6ケタになると、組み合わせの種類はアルファベット26文字＋数字10種で36種類の文字×6ケタ＝21億7678万2336通りにまで跳ね上がります。さらに、8ケタであれば36種類の文字×8ケタ＝2兆8211億990万7456通りとなり、英数に記号を加えればその組み合わせはさらに跳ね上がります。

　ですから、パスワードはできるだけ使い分けること、あまり短いパスワードや数字だけのパスワードは避けることを強くお勧めします。

●パスワードは「長いだけ」でもダメ

　ところで、みなさんはITセキュリティ大国でもある米国において、最も多く用いられているパスワードは何であるかご存知でしょうか。訴訟大国でもあり、リスクに対しての意識が極めて高い国と考えられている（実際その通りだと思います）米国のことです。さぞかし難解なパスワードが上位を占めているのではないかと想像しているかもしれません。

　ところが実際は、アメリカで最も多く用いられているパスワードは「123456」もしくは「password」という、極めて分かりやすいというか単純なものなのです。また、人気のチームや人物名など「意味のある単語そのまま」というパスワードも非常に多く用いられています。

　このような単純なパスワード、そして「意味のある単語（好きなチームやグループ、会社名や製品名など）そのまま」は最も破りやすいパスワードの1つです。いくら文字数が長くても、たとえ英数記号が併用されていたとしても、こうしたいわゆる「パスワード候補」は既に様々な攻撃者によって「辞書化」されています。現在の悪意ある攻撃者がパスワードをクラック（破る）しようとする場合、先程のブルートフォースアタックと同時にこうした辞書を用いた攻撃も併用する、通称「ハイブリッドアタック」を用いるのが主流なのです。

　Web系サービスの認証・ログインに使われるIDには、メールアドレスが使われるのが一般的です。多くの通販サイトなどではメールアドレスとパスワードを入れさえすれば、商品の注文はもちろん、その本人の氏名や住所、連絡先や利用履歴など様々な情報を見ることもできます。

　今回のお話は、以前からある「身に覚えのない出前がたくさん届く」といったような類の、いわゆる「いたずら」や「嫌がらせ」の範疇の出来事だったと言ってもいいのかもしれません。しかし場合によっては、相手によってはもっとずっと恐ろしい結果になっていたかもしれないです。

　こうしたリスクを避けるためにも、IDやパスワード、メールアドレスの管理にはしっかり気を配ることをお勧めします。