英Sophosは現地時間9月11日,複数のWebサイト(サービス)に同じログイン・パスワードを設定しないよう注意を呼びかけた。どこか1カ所からパスワードが漏れると,ほかのWebサイトにも不正にアクセスされる恐れがあるためだ。
同社では,米Linden Labが運営するオンライン・ゲーム「Second Life」で発生した不正アクセスを例に説明する。Linden Labは現地時間9月8日,Second Lifeのデータベースが不正アクセスされたことを公表した。このデータベースには,ゲーム会員65万人の住所および氏名,暗号化されたパスワードおよび支払い情報(クレジットカード番号など)が収められていたという。
詳細は明らかにされていないものの,不正アクセスは,いわゆる“ゼロデイ攻撃(未知のセキュリティ・ホールを悪用する攻撃)”だったという。不正アクセスによってどの程度のユーザー情報が漏れたのかは,Linden Labでも把握していない。Linden LabではSecond Lifeのユーザーに対して,パスワードを早急に変更するよう呼びかけている。
Sophosでは,パスワードを変更すればSecond Lifeに対する不正アクセスは防げるものの,同じパスワードを別のサービスにも使っていた場合,そのサービスに不正アクセスされる恐れがあるとして警告している。
Sophosが以前実施したアンケート結果によると,41%のユーザーが「複数のWebサイトへのログインに同じパスワードを使っている」と答えたという。
「パスワードの管理体制はWebサイトによって異なる。ユーザーとしては,(管理体制の甘いサイトからパスワードが漏れても大丈夫なように)個人情報などを登録しているWebサイトには,それぞれ異なるパスワードを設定することが大切だ」(Sophosの上級技術コンサルタントのGraham Cluley氏)
併せて,パスワードには推測しにくい言葉を使うことも重要だと強調する。辞書に載っているような言葉では,すぐに破られてしまう恐れがある。
