PCや社内システム、Webサービスなど、現代では様々なITシステムを活用してビジネスを遂行しています。
そのシステムを利用するために必須となる要素が「アカウントの認証」です。
様々な認証方式が登場していますが、現代においてもIDとパスワード文字列を組み合わせたパスワード認証は代表的な認証方式と言えるでしょう。
しかし、パスワードの管理はそのアカウントを使用する個人に委ねられ、複数のシステムで同一のパスワードを使用するパスワードの使い回しは代表的なセキュリティリスクです。
この記事では、パスワードの使い回しがなぜ起こるのか、それを防ぐための手段には何が考えられるのかを解説します。
パスワードの使い回しが発生する原因
パスワードの使い回しを防止するためには、なぜ使い回しが発生するのかを把握することが重要です。ここでは、代表的な発生原因を紹介します。
リテラシー不足
セキュリティの重要性や怠るリスクに対する認識が低い場合、使い回しが発生しやすくなります。
なぜパスワードの使い回しが禁止されており、使い回すとどのようなリスクがあるのかを従業員全員が理解する必要があります。
管理するべきアカウントが多い
多くのオンラインサービスを利用する現代では、多数のアカウントとパスワードを管理する必要があります。
しかし、多くのサービスを利用し、それぞれのアカウントやパスワードを覚えておくことは難しく、管理する負担が増加してしまうでしょう。
管理方法が不明確
パスワードの管理方法が決まっていない、適切に管理するための仕組みが整備されていないといったケースでは、従業員個人の判断でパスワードを設定・管理することになります。
従業員に負担を掛けず、安全にパスワードを管理するためのガイドラインやパスワード管理ツールがなければ、覚えているパスワードを使い回さなければ管理しきれない状況に陥りかねません。
パスワードの使い回しは多くのリスクを孕んでいますが、それが発生する背景には複数の要因が絡むことが多いです。これを解消するためには、個々の要因に対して対策を講じることが重要となります。
パスワード使い回しを狙ったサイバー攻撃
パスワードの使い回しをすることで、攻撃者により該当アカウントを乗っ取るなどの不正アクセス被害を受ける可能性が急増します。
ここでは、パスワードの使い回しと組み合わさるとリスクが急増してしまう代表的案攻撃を紹介します。
リスト型攻撃
ITサービスを利用するためのアカウントは、セキュリティ事故等によりID、パスワードなどの情報が流出してしまうこともあります。
リスト型攻撃とは、流出した情報は攻撃者の間で共有され、リスト化したパスワードを使って不正アクセスを試す攻撃手法です。
パスワードを使い回しているアカウントのどれか1つでもリストに加えられていると、他のアカウントが不正アクセスの被害を受けるリスクが高まってしまいます。
辞書攻撃
辞書攻撃とは、辞書に記載されている単語を何度も入力し、アカウント認証を突破する方法です。
パスワードは推測されにくい文字列を使うことが推奨されていますが、辞書に載っている一般的な文字列では辞書攻撃により突破されるリスクが高まるでしょう。
さらに、使い回しをしていれば同様に他のアカウントも被害に遭う恐れがあります。
特に高度な技術を用いることなく、単純な方法で認証を突破されてしまう可能性があります。
パスワードの使い回しの事例
実際に発生したパスワードの使い回し事例を紹介します。
メールアカウントが乗っ取られ、スパムメール送信
2021年2月、国内の大学において研究員のメールアカウントが乗っ取られ、スパムメールの送信元として悪用されました。
システム内で不正アクセスを検知し、調査を行なったところ19,000件以上のスパムメールが送信されていることが発覚したようです。
該当のメールアドレスを所持している人物が、別のサービスでも同じパスワードを使っており、その情報を攻撃者がなんらかの形で取得したと見られています。
自組織が被害を受けるだけではなく、攻撃の一部を担ってしまった形となり、組織の信用は大きく損なわれてしまうことも考えられます。
不正アクセスにより重要データが不正に暗号化
2023年3月、国内の医療センターでは、第三者によりデータを不正に暗号化するランサムウェアの被害を受けました。
事業者が利用していた保守用のネットワーク機器を通じてサーバーへ侵入後、共通のパスワードを用いていたリソースが多く存在したことから、被害の拡大に繋がってしまったようです。
不正アクセスを許してしまったことも問題ですが、各サーバーやデバイスのパスワードが適切に管理されていれば、被害の拡大は防げたと考えられています。
このようなことが自社で起こらないようにするには、どのような対策が必要でしょうか。
パスワードの使い回しを防止するアプローチ
パスワードを適切に管理できる環境と、従業員のリテラシー向上が根本的な解決策となります。
リテラシー教育の実施
従業員に対してパスワードの重要性やリスクについての教育を行います。
パスワードを使い回すことでどのようなリスクがあるのかを正しく理解することで、「軽い気持ちで使い回してしまった」のような事故を防ぐことに繋がります。
パスワード管理ツールの活用
パスワード管理ツールを用いることで、多数のアカウントとパスワードを一元的に管理できます。
パスワードを管理するための負担が高く、使い回しをしてしまうケースではツールを有効活用することが効果的です。
ツールを活用することでパスワード文字列自体も安全に管理されるため、セキュリティ強度の底上げにも繋がるでしょう。
▶️ 関連記事
「セキュリティリスクを削減するパスワード管理方法とは?データを守るための基礎知識」
明確な運用ルールの制定
企業内でのパスワードポリシーを明確にし、それを従業員に周知します。
パスワードの使い回しを禁止するというだけでは無く、パスワードの文字数や必要な複雑さ(数字と記号を含める等)を明記することで、従業員が望ましいパスワードを設定しやすくなります。
▶️ 関連記事
「パスワードを安全に管理するためのセキュリティ対策とは?」
生体認証の導入
パスワード文字列を使わず、生体認証とすることでパスワードのリスク自体を回避することができます。
認証時には自分の生体情報を提示するだけで認証が完了し、第三者による偽装は困難であることからパスワード管理の手間の削減とセキュリティの向上を両方見込めることができるでしょう。
▶️ 関連記事
「パスワードレス認証とは?パスワード認証の課題をまとめて解決する仕組みを解説」(公開後)
シングルサインオンの導入
シングルサインオン(SSO)を導入することで、一つの認証情報で複数のサービスにログインすることができます。
これにより、パスワード管理の負担が軽減され、使い回しを防ぐことができます。
システムとリテラシー両方のアプローチを取ることで、過度な負担を掛けることなく安全なパスワード管理に繋がります。
▶️ 関連記事
「シングルサインオン(SSO)とは?認証方式とその仕組み、安全性を高める方法を解説!」
環境整備を意識したパスワード使い回し対策を
パスワードの使い回しは、一般的なITリテラシーを身につけるだけでその危険性や影響を理解することができます。
しかし、問題であることを理解していても、適切にパスワードを管理できる仕組みやルールがないことが原因で実行してしまいやすい面もあると言えるでしょう。
パスワードの使い回しを防止するためには、安全なアカウント管理を実現するための仕組みを組織として用意し、従業員がそれを正しく使う形が望ましいのではないでしょうか。
パスワード文字列自体を排除できる生体認証は、このような課題の根本的な解決を見込むことができます。
特に、顔認証システムは認証時の手間が少なく、様々な環境で活用できる最新の認証方式です。
パスワードを工夫して管理するアプローチだけでは無く、パスワード管理自体を不要とする顔認証システムを、ぜひご検討ください。
