インターネット利用者の8割以上がパスワードを使い回している――。トレンドマイクロは2017年10月5日、「パスワードの利用実態調査 2017」を発表した。使い回しをする理由は「異なるパスワードを設定すると忘れてしまう」が69.7%、「異なるパスワードを考えるのが面倒」が45.3%だった。

 情報処理推進機構(IPA)の加賀谷伸一郎セキュリティセンター調査役は「2011年ころからパスワードの使い回しをやめるように呼びかけている。だが、我々の調査でも使い回しが減っていないと判明している」と嘆息する。

 利用者は様々なWebサイトを利用する。個人で利用するSNSやオンラインバンキング、ECサイト、ポイントサイト、ニュースサイト、ゲーム、オークション、Webメールに加え、仕事で利用する業務システムもある。

 ソフトバンク・テクノロジーの辻伸弘脅威情報調査室プリンシパルセキュリティリサーチャーは「インターネットの活用にあまり熱心でない普通の人でも、10個や20個のWebサイトを利用しているはずだ」と推測する。1つひとつのWebサイトで全く異なるパスワードを使い分けて、全てを暗記するのは現実的には難しい。

使い回すと複雑なパスワードも簡単に破られる

 複雑なパスワードを設定すれば、使い回しても大丈夫なのか。使い回しは厳禁である。デロイト トーマツ リスクサービスの岩井博樹シニアマネジャーは「どんなに工夫して考えた複雑なパスワードでも、1つ漏れたら全て終わりになってしまう」と指摘する。

 使い回しが危険なのは「パスワードリスト攻撃」が猛威をふるっているからだ。攻撃者はどこかしらのWebサイトから漏洩したID/パスワードの組み合わせリストを入手する。そして、そのリストを使ってさまざまなWebサイトへの不正ログインを試す。

[画像のクリックで拡大表示]

 EGセキュアソリューションズの徳丸浩代表取締役は「情報漏洩事件で流出したIDとパスワードの一覧はブラックマーケットで流通している。ほかの攻撃者がそれを購入して、Webサイトへの不正ログインを仕掛けているようだ」と話す。