不正アクセス被害のプレスリリースで次のような表現を見るたびに、何ともいえない違和感を覚えてしまう。
「他社サービスにおけるパスワードの使いまわしではない、まったく別のパスワードの再設定をお願いします---」
いや、言いたいことは良く分かる。ユーザーの自衛策として、パスワードの使い回しを避けた方がいいのはその通りだし、その事実をユーザーに啓発することには意味がある。
だが、私が天の邪鬼だからか、記者の職業病ゆえか…この表現には、ユーザーへの責任転嫁のような意図を感じてしまうのだ。
以前の「記者の眼」にも書いたが、インターネットユーザーが「確実に記憶できる」と考えているパスワードの数は、平均で3個ほどだという。「パスワードの使い回しを避けて下さい」というお願いは、実のところ、大半のユーザーには不可能な注文なのだ(関連記事:いくつもの暗証番号、パスワード…もう限界に来ていませんか)。
そもそも、IDとパスワードが本人認証する手段として普及したのは、他の認証手段と比べ、恐ろしく手軽で使い勝手が良いためだ。
そして、この使い勝手の良さは、「パスワードが使い回せる」という前提に支えられている。使い回しが許されないとすれば、入力のたびにいちいち手帳を取り出す、パスワード管理ソフトを起動するといった手間がかかり、本人認証としての使い勝手は一気に悪くなる。
IDとパスワードの使い勝手は、今も悪くなる一方だ。ユーザーが利用する端末がパソコン1台だけなら、ブラウザーのパスワード自動入力(オートコンプリート)が使えた。だが、スマートフォンなど複数の端末でサービスを利用する現在では、新しい機器でアクセスするたびにパスワード入力が迫られてしまう。
「破綻」を認めた上で、リスクを減らす対策を
「IDとパスワードだけに頼る認証は、もう破綻していますよ---」。
認証技術の未来はどうなるのでしょう、と聞いた私に、あるセキュリティ専門家は笑いながら答えた。「そんなまさか」と言おうとしたが、反論できなかった。実際、不正アクセスが絶える気配はなく、その攻撃手法も進化を続けているためだ。
ここ2~3カ月の間に明らかになった不正アクセスの大半は、「リスト攻撃」と呼ばれるサイバー攻撃が使われたとみられる。攻撃者は、あるサービスから漏洩したIDやパスワードのリストを入手し、別のサービスでログインを試す。この場合、数%という高い確率でログインに成功してしまう。
漏洩したパスワードが不可逆暗号化、つまりハッシュ化したものであっても、安心はできない。例えばMD5やSHA-1といったハッシュ関数で暗号化したパスワードは、GPGPU搭載パソコンによる解析で、実時間内にパスワードを復元できることが明らかになっている。
IDやパスワードに頼る認証は、もう破綻している。ITサービスを運営する企業は、まずその事実を認める必要がありそうだ。「パスワードの使い回しは止めて下さい」と啓発する一方で、認証の仕組みを何ら改良しないとすれば、それこそユーザーへの責任転嫁にしかならない。
以下、不正アクセスのリスクをできるだけ抑えるための三つの施策を紹介しよう。