先日、個人的に利用しているあるサービスから、身に覚えのないログイン認証コード入力依頼のメールが届きました。不正ログインされたのではないかと不安になり、パスワードの漏洩がなぜ起こるのか、どのように対策すれば良いのか調べてみました。

　

まず、自分の個人情報が過去に流出したかどうかを調べることができる「Have I Been Pwned？」というサービスを知りました。これはウェブ上の無料ツールで、メールアドレスや電話番号を入力すると、その文字列が含まれる認証情報が過去に流出したかどうかを教えてくれます。
　

筆者はこのサービスで自分のメールアドレスを調べてみたところ、過去にSNSとカレンダーアプリの2つの大手サービスで漏洩があったことが分かりました。どちらも2~300万件が流出したインシデントのひとつでした。このように、大規模で信頼できそうな企業が運営するサービスでも、個人情報は漏洩する可能性があるということを実感しました。

　

実は、こうした個人情報漏洩のリスクは近年ますます高まっています。その原因の一つが、「犯罪のビジネス化」です。これは、サイバー犯罪に必要なツールやサービスが、ダークウェブ上の市場(アンダーグラウンドマーケット)で売買され、経済循環が成立している状況のことを指します。IPA独立行政法人情報処理推進機構が公開した「情報セキュリティ10大脅威 2023」では「犯罪のビジネス化」は組織の脅威ランキング10位にランクインしています。このような犯罪のビジネス化により、IT知識が乏しい者でもサイバー攻撃を実行できる環境になりました。

　

ダークウェブ上には、「パスワードリスト攻撃」と呼ばれる、漏洩した情報をもとに別のサービスに不正ログイン攻撃を仕掛けるための高度なツールも存在し、推測されやすいパスワードは簡単に突破されてしまいます。パスワードの使い回しや簡単な文字列を使っていたら、あらゆるサービスに不正ログインされてしまうかもしれません。
　

こうした情報漏洩に備えるためには、基本的と思われそうなことばかりですが、やはり以下の対策が有効です。

　

・パスワードは使いまわさないこと

・推測されにくい強固なパスワードを設定すること

・パスワードは定期的に更新すること

　

これらを徹底することにより、もし情報漏洩があったとしてもパスワードリスト攻撃から身を守ることができます。昨今ではパスワードを管理するためのサービスや、ランダムな文字列を生成するwebアプリが豊富に提供されているので、それらを利用して対策することをおすすめします。