複数のサービスで同じパスワードを使う(パスワードを使いまわす)ことは危険だと言われています。明確に禁止している企業もありますし、パスワード管理機能を持つWebブラウザやツールを使っていると、同じパスワードを使おうとすると警告のメッセージが表示されることもあります。それでは、どうしてパスワードの使いまわしは危険なのでしょうか。今回は事例を交えて解説します。

認証に必要な情報は常に狙われている

パスワードの使いまわしが危険な理由は、パスワードリスト攻撃と呼ばれるサイバー攻撃によって、複数のアカウントが不正にアクセスされてしまう可能性があるためです。

アカウントの不正アクセスによる被害は、サービスによって異なります。個人情報やクレジットカードの情報などが漏えいしてしまうだけでなく、転売しやすい高額商品をECサイトから勝手に購入されてしまうなどの直接的な金銭被害に遭うこともあります。しかし、それ以上に問題なのは、乗っ取られてしまったアカウントを利用して、会社のシステムに不正アクセスされてしまう、知人に被害を与えてしまうなどといった二次的な攻撃に使われてしまう可能性が高いことです。つまり被害者になるだけでなく、第三者への攻撃手段として使われてしまうのです。

攻撃者がクレデンシャル（IDとパスワードなど認証に必要な情報）を入手する方法は、サービスを提供している企業のサーバをハッキングする、マルウェアが侵入先のPCから不正に入手する、ブルートフォース攻撃（総当たり攻撃）などさまざまです。漏えいしたクレデンシャルはブラックマーケットにおいて高値で取引されるため、複数の攻撃者から繰り返し狙われることも少なくありません。クレデンシャルの窃盗を専門にした犯罪集団も数多く存在するため、世界中から常に狙われている状態です。

パスワードの使いまわしによるセキュリティ被害事例

アカウントの不正アクセスによる被害は数多く報告されており、そのいずれがパスワードリスト攻撃による被害なのかを特定するのは非常に難しいことです。可能性が高いと言われている国内事例としては、以下のようなものが知られています。

【大手通信会社】

2018年には、大手通信会社が運営するオンラインショップにおいて、同社サービスを利用するアカウントが乗っ取られ、「iPhone X」を不正購入される被害が約1800件発生しました。機種変更手続きを経由して、約1000台のiPhone X（約１億４千万円）が、コンビニ受け取りなど登録住所とは異なる場所に送付されてしまったのです。この時に不正アクセスされたアカウントは、パスワードリスト攻撃によるものだったといわれています。この事件では、多要素認証を利用していれば未然に防ぐことが可能であったことから、現在このオンラインショップでの端末購入には多要素認証が必須となっています。

【決済ビジネス会社】

2019年、ある決済ビジネス会社が提供する決済サービスにおいて、他者になりすまして登録されているクレジットカードやデビットカードからチャージされ、店舗で実際に商品が購入されてしまう事件が発生しています。この事件は決済サービスの仕組みそのものに問題があったことで「システム側の問題」であることは間違いないのですが、アカウントの乗っ取りが行われていることを考えると、パスワードリスト攻撃の側面もあります。

アカウントを乗っ取られないための効果的な対策とは

アカウントを乗っ取るために行われるパスワードリスト攻撃は、ブルートフォース攻撃（総当たり攻撃）と呼ばれる総当たり攻撃の進化した形であるとも言われています。ブルートフォース攻撃は、ツールを使って何度もリトライを繰り返してパスワードを特定していく攻撃です。「パスワードによく使用される文字列」や「個人の生年月日」「乗っている車のナンバー」などを組み合わせるといった手法を使われることもあります。

パスワードリストは、既に他のサービスで利用されているパスワードを組み合わせる攻撃です。人間の記憶力には限界があるため、ついつい同じパスワードを使ってしまう、あるいはいくつかのパターンで組み合わせているという人は多くいます。攻撃者はこうした人の行動をよく理解しているため、クレデンシャル（IDとパスワードなど認証に必要な情報）を一つでも入手すると、単純にそのクレデンシャルを利用するだけではなく、いろいろなパターンを試行するようなツールを利用します。しかも最近はAIを駆使して精度も高まっており、より精度の高いブルートフォース攻撃と言えるでしょう。

パスワードリスト攻撃やブルートフォース攻撃被害に遭わないための対策はいくつかあります。

単純な（推測されやすい）パスワードは使用しない
同じパスワードを使いまわさない
定期的にパスワードを更新する
パスワードマネージャー利用する
多要素認証を導入する

前述したように人間の記憶力には限界があります。そのため、記憶力に頼るのではなく、パスワードをツールで管理するパスワードマネージャーのツールやサービスを利用すると便利です。パスワードマネージャーにアクセスするための「パワーパスワード」だけを記憶しておけば、ほかのサービスを利用する際にはパスワードマネージャーが自動的にパスワードを入力してくれます。

もちろん、パワーパスワードが漏れてしまうと、すべてのサービスにアクセスできてしまうのですが、多要素認証などでこうした事故を防ぐことも可能です。多要素認証はサービス側が対応していなければ利用できませんので、パスワードマネージャーを選ぶ際には多要素認証に対応しているものを選ぶようにした方がよいでしょう。

まとめ

・不正アクセスに利用するため、認証情報は常に狙われている
・パスワードの使いまわしを防ぐためにはパスワードマネージャーを利用する
・多要素認証で不正アクセスを防ぐのも効果的