「そのパスワードはアカンやろ...」
つい最近、私が妻に言った言葉です。
今回の曼陀羅ニュースでは「パスワード」について皆さんに今一度考えてもらいたく、ITC職員に実際に起きた出来事を元に書いてみました。(一部脚色を入れております)
Skypeが使えない
私は出張等で家を不在にした時、私と家族とでお互いにPCを使ってSkypeでビデオ通話するのですが、ある時妻が「Skypeにログインできない!」と出張先に電話をかけてきました。普段使っているパスワードでSkypeにログインできなくなったようです。
私のPCから妻のSkype IDを確認すると、妻のIDは見えているのですが、画像が「親子仲良しの写真」から「知らない外国人のおじさん」に変わっていてビックリ。
ほのぼのした家族画像(イメージ)
から 
変なオジサンに
名前はRichardになってるし、出身地も「日本・京都」から「米国・コロラド州」に変更されてました。どうやら何らかの手口でSkype IDを乗っ取られたようです。帰宅後、まずはPC自体がウイルスにかかっていないか確認しましたが特に問題ありません。
続いて妻にいろいろと確認したのですが、その中で仰天したことが。
どんなパスワード?
私:パスワードってどんなん付けてた?
妻:「ワイ・ユー・....
私:言わんでいいから
【パスワードや暗証番号は家族であろうが他の人に言ってはダメです】
私:単語の組み合わせとか?
妻:名前と誕生日をたしたもの
私:そのまま?
妻:そのまま
私:ワイ・ユー・(略)・・ゼロ?
妻:その通り
私:まじで?!
妻:まじで
私:そのパスワードはアカンやろ...
【パスワードに自分の名前・誕生日・電話番号をけして使わない】
しかも今回のケースは、
Skype ID = 名前+記号+英単語+誕生日
パスワード = 名前+誕生日
と、IDやプロフィールから余裕で推測される場外ホームラン級のダメパスワードでした。
というわけで、コロラド州の知らないおじさんにパスワードを破られSkype IDを乗っ取られたようです。Skypeを運営する会社に連絡し、事情を説明すると、幸いにも(Skype側でもこういうことにはよく慣れているのか)すぐにパスワードをリセットしてくれて、こちら側でログインできるようにしてくれました。
まさか、そのパスワードって他にも
妻にパスワードの手本を説明し、Skypeのパスワードを強固なものに変更させ、コロラドのオッサン画像を元に戻し、さてこれで一件落着....、ではなく、話はこれで終わりではありません。
イヤな予感がしたので妻に確認しました。
私:このSkypeのパスワードって、他でも使ってへん?
妻:使ってるよ(堂々)
私:それ変えた?
妻:なんで?
私:...。(俺が「なんで」て言いたいわ!)
この後GmailやYahoo ID等のパスワードもそれぞれ別のものに変更させました。
【IDやパスワードを別のサービスでも使いまわしていると、これらも乗っ取られる可能性があります】
他人事じゃないですよ
この話を見て、皆さんも思い当たるフシがありませんか?
- パスワードに、自分の名前、電話番号、誕生日をそのまま使っている
- さまざまなサービスで、同じパスワードを使用している【メール、SNS、ネットショップなど】
- 他人にパスワードを教えたことがある
他にも「IDとパスワードが同じ」「パスワードに"1234"や"abcd"などの単純な羅列を使う」「パスワードに辞書にある単語をそのまま使う」のもダメなパスワードです。これらに当てはまるパスワードを使っている方は急いで別のパスワードに変更してください。そのパスワードはもはやいつ破られてもおかしくありません。
パスワードが破られると皆さんのIDを使って悪用されることもありますし(+変なオジサン画像に変更されますし)、復旧させるのに非常に労力がかかりますし、何より気持ち悪さがずっと残るのです。
あと、皆さんの曼陀羅システムのパスワードを曼陀羅とは別のサービスで使っていませんか?。その場合もすぐにやめて別のパスワードに変えてくださいね。
パスワードのこと、真剣に考えて
パスワードについてはIPA(情報処理推進機構)が特集ページを作っており、とても見やすいです。
パスワードは「あなた」が「あなたであること」を証明する大事なものです。逆に言うと、パスワードが破られると「悪意のある誰か」が「あなたになりすます」ことが可能となります。
曼陀羅システムの利用ガイダンスでもパスワードについては説明していますが、皆さん、今一度、上記のページを見て確認してください。
ちなみに我が家でも妻用に「こんなお手軽パスワードじゃ危ないぜ(IPA)」ポスターを買って貼っておこうかと思います。
(IPA:情報処理推進機構 「パスワード -もっと強くキミを守りたい-」)