2016 年 6 月 16 日 MARC LALIBERTE 著

ソーシャルメディアのアカウントを持つ人なら誰もが、スパムメールを受け取った後に「アカウントをハッキングされた」という友人の投稿を目にしたことがあるでしょう。その友人が有名人でもない限り、個人を標的にしてハッキングされた可能性は極めて低く、おそらくは、攻撃されたサイトと同じパスワードを他でも使っていたためにアカウントが乗っ取られてしまったものと考えられます。

パスワードを使い回しすると、そのパスワードを使用しているすべてのアカウントがリスクにさらされることになります。Github が最近、大量のパスワードをリセットしましたが、これは、まったく無関係のサービスからのパスワードダンプの多数の被害者が Github のユーザーでもあったためです。今月初めには、マーク・ザッカーバーグ氏の Twitter と Pinterest のアカウントが乗っ取られ、数週間前の LinkedIn のパスワードダンプの同氏の認証情報が使用されていたと報道されました。

パスワードダンプは、よくある攻撃方法の 1 つですが、1 億件以上の認証情報が流出した LinkedIn のようにいつでも大々的に報道されるわけではありません。今週だけでも、4 千 5 百万件の認証情報が、motorcycle.com や mothering.com などの比較的ユーザーが限られているサイトから流出しました。自分のパスワードが流出したことにいつでも気付けるわけではありません。また、XKCD のこのマンガにあるように、アカウントを登録しているすべてのサイトが善意のサイトである保証はありません。

電子メールや金融取引サービスなどの重要度の高いアカウントは特に、可能な限り一意のパスワードを常に使用すべきでしょう。また、パスワードを定期的に変更して、パスワードダンプの被害者にならないようにすることも重要です。けれども、数十もの複雑なパスワードを考えて記憶するのは、容易なことではありません。そこで、LastPass や KeePass などのパスワード管理アプリを利用することを強くお勧めします。パスワード管理アプリを利用すると、強力な一意のパスワードをアカウントごとに作成して保存できるだけでなく、覚える必要があるのは、複雑なマスターパスワード 1 つだけです。指紋などの 2 つ目の認証要素をパスワード管理アプリと併用すれば、セキュリティがさらに強化され、パスワードダンプの次の被害者にならずにすむでしょう。– Marc Laliberte