mixiやTwitter、Facebookといったコミュニティサイトをはじめ、ショッピングサイトやオンラインゲーム、ポータルサイトなど、インターネット上で会員制を採るWebサイトは無数にある。筆者は、たぶん百以上のサイトに登録している。

 正直にいうと、私が百以上のサイトで使っているログインパスワードは十種類に満たない。一つのパスワードで、いくつかのサイトをログインできるようにしている。読者のなかにも、複数のWebサイトで共通のパスワードを使っている人は結構いるだろう。

 ところが最近こういった利用を禁じようとする動きが出始めている。それは、パスワードの使い回しに起因すると思われる不正アクセスが見つかったからだ。

ユーザー情報漏えいと不正アクセスの二つの事件

 大手オンライン・ゲーム・サイトが2010年11月初旬、登録会員のIDとパスワードが漏えいしたことを明らかにした。サイトの運営会社によると、10月ごろからユーザー情報を管理するサーバーから170万人以上のIDとパスワードが盗まれたというものだった。

 するとこの事件の発覚とほぼ同時期に、大手ショッピングサイトで不正アクセスが見つかった。クラッカー(攻撃者)が、正規のユーザーが買い物でためていたショッピングポイントを使って、買い物したというものだった。ポイントを不正使用した買い物は20件が発覚して、ショッピングサイトの運営会社はすぐにサービスを閉鎖した。

 ショッピングサイトでは全会員のログインパスワードを変更して、新しいパスワードを会員にメールで通知。そして、ショッピングポイントの使用を禁止した状態でサイトを再開した。その後すぐに、これまでなかったショッピングポイントの利用上限(1決済当たり10万ポイント、10万円相当)を設けて、ショッピングポイントを買い物に使えるようにしている。

 ショッピングサイトの運営会社は、不正アクセスは20件のみでそれ以上の個人情報を盗まれたわけではないとしている。ただ、クラッカーの手口を明らかにしていない。そこで企業セキュリティのコンサルティングを行うベンダーなどに今回の手口について周辺取材を進めていくと、驚くべき仮説を耳にした。「オンラインゲームサイトで盗まれたIDとパスワードを使って、ショッピングサイトの不正アクセスを成功させたのでは?」と、二つの事件の関連性を指摘するものだ。

 この関連性を証明するのは、非常に難しい。不正アクセスに使用されたIDやパスワードがオンライン・ゲーム・サイトから漏えいしたユーザー情報と一致しただけで、それがクラッカーの入手元になったかどうかを判断できない。ただ、時期や個人情報が漏えいしたわけではないのに全会員のパスワードを変更した対策を採ったという客観的な事実を見れば、その可能性を否定できないだろう。

意外と禁止されていない使い回し

写真1●楽天KCが2011年2月24日に会員に向けて送信したメール
写真1●楽天KCが2011年2月24日に会員に向けて送信したメール
[画像のクリックで拡大表示]
写真2●大手オンライン・ゲーム・サイトが掲げるパスワードの管理方法
写真2●大手オンライン・ゲーム・サイトが掲げるパスワードの管理方法
[画像のクリックで拡大表示]

 ではパスワードの使い回しに対して、会員制サイトはどのように対策しているのだろうか。実はサイトの運営会社の多くは、こういった利用方法を明確に禁じていない。例えばYahoo!の場合、利用規約のなかで禁止事項として、

“手段のいかんを問わず他人からIDやパスワードを入手したり、他人にIDやパスワードを開示したり提供したりする行為”

としているだけだ。別のサイトで同じIDやパスワードを使うことが「開示」に当たるかどうかは判断が分かれるところだ。また、楽天市場などで買い物ができる楽天会員の利用規約でも、

“ユーザIDおよびパスワードは、他人に知られることがないよう定期的に変更する等、会員本人が責任をもって管理してください”

とトーンは弱い。明確には禁じていない。

 ところが最近、明確に使い回しを止めるようアナウンスする会社が出てきた。クレジット発行会社の楽天KCは、会員に対して会員向けサービス(e-NAVI)のログインパスワードを他のWebサイトと共通利用しないようにメールで訴えている(写真1)。また個人情報を漏えいさせたオンライン・ゲーム・サイトも、パスワードの使い回しを止めるようサイト上で呼びかけている(写真2)。

クラウド時代には企業担当者にとっても油断できない

 ラックの最高技術責任者である西本 逸郎氏は「プライベートと仕事用のパスワードを共通にしているユーザーが多い」と指摘する。企業のネットワーク担当者にとって、パブリックなサービスで発生したIDとパスワードの漏えいを対岸の火事と思ってはならない。それを使って、企業ネットワークに不正アクセスされてしまう恐れがあるのだ。普及が進むクラウドサービスでは、IDとパスワードだけで認証することが多い。インターネットのような閉域でないネットワーク経由で利用できるクラウドサービスでは、特に注意が必要だ。

 そこで日経NETWORK2011年3月号の特集「 2011年版企業ネットの守り方」では、IDとパスワードの漏えいを防ぐポイントを紹介している。ぜひ参考にしていただきたい。