インターネットで個人がサービスを利用する際には、IDとパスワードを使って本人確認を行うのが一般的だ。このふたつの情報が他者に知られると、勝手にサービスを利用されてしまう。それを目的としてあの手この手で情報を盗もうとする悪党も多い。

たとえば先月、こんな事件があった。

大学サーバーに不正侵入の疑い　大阪・枚方の男逮捕
（2008年05月14日）

立命館大のサーバーに不正に入り込み、学生が持っているメールアドレスの設定を改変したとして、京都府警は１４日、大阪府枚方市招提南町３丁目、会社員内藤翼（つばさ）容疑者（２５）を不正アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで逮捕した。内藤容疑者は「いたずらのつもりだった」などと容疑を認めているという。

調べでは、内藤容疑者は１月２３日、同大学びわこ・くさつキャンパスの学内サーバーに、男子学生２人のＩＤとパスワードを使って計６回侵入。２人の学内アドレスに送信されたメールが他の学生のアドレスに転送されるように、設定を変えた疑い。

同容疑者は事前に、大学名で「ネットワークサーバーにウイルスの感染が見つかった。セキュリティーチェックをする」という偽メールを学生に送信。リンク先を示し、返信した学生を偽のホームページに誘い込んでＩＤとパスワードを入力させ、入手していたという。

府警によると、メールは学生１０人のアドレスに転送されており、就職活動に関係するやりとりなど個人情報が含まれていたという。学生から指摘を受けた大学側が２月、府警に相談していた。

電子メールだけでなく、インターネットの会員制サービスは本人確認の手段としてIDとパスワードを使う。IDは会員番号やユーザー名などの形で、他者からも分かるものだ。一方のパスワードは本人以外には知られてはならない秘密の文字列（文字の組み合わせ）となる。キャッシュカードやクレジットカードで、暗証番号を使うのと同じ発想だ。 　今回のケースで犯人は、学生に電子メールを送って偽のウェブサイトに誘導し、そこにIDとパスワードを入力させて情報を盗み出した。いわゆる「フィッシング」と呼ばれる手法だ。「IDとパスワード」を「お金」にたとえれば、税務署員を装って老人に銀行振り込みを行わせる詐欺と似ている。

偽のページはアドレスが正しいものとは異なる。被害にあった学生に、アクセスしたウェブサイトのアドレスを見て疑うだけの知識があれば避けられたトラブルである可能性が高い。大学は学生に対して情報セキュリティを教える場を持たなかったのだろうか。あるいは、大学側が「パスワードを特定のアドレス以外では入力させることはありません」などの基準を示し、周知徹底していれば避けられたかも知れない。

もっとも、過去の本コラム（「四の鍵：「見た目が同じ」だけでは安心できない」）で紹介したように、正しいウェブサイトが改ざんされて情報盗難に利用されることもある。セキュリティ保護には、利用者の心がけだけでなくシステム管理部門のサイト改ざん等に対する備えも求められることは言うまでもない。

ところで、「フィッシング」のような「ハイテク」を駆使せずパスワードが盗まれることがあるのはご存じだろうか。

実は、デスクのパソコンのディスプレイにIDとパスワードを書いた付せん紙を貼っている人、デスクマットの下に隠したつもりになっている人などが結構いるのだ。外部の人間が出入りしやすい職場では、こうしたメモがのぞき見されやすい。同僚のメールを勝手に見るような内部犯行もあるため、人の出入りが少ない部署も注意が必要だ。周囲の同僚を疑惑の目で見る必要はないが、パスワードを知られてしまうような行動は避けるのが無難と言うことだ。また、システム部門の担当者などを装い、電話でIDとパスワードを尋ねる手口などもあるという。

こうしたアナログチックな情報盗難だけではない。パスワードに誕生日や自分の名前、社員番号等をそのまま使っていて、悪党に推測されてしまうケースもある。パスワードをできるだけ無意味な文字の羅列にすれば推測されにくくなるが、無意味であるほど覚えにくいというデメリットもあり悩ましいところだ。

ひとつのサービスのパスワードを、定期的に変更するのも効果がある。組織やサービスによっては、定期的な変更を義務づけている場合もある。しかし、定期的な変更直後に「いつものパスワード」に戻してしまったり、ふたつのパスワードを交代で設定していたりする不精者はかなり多いようだ。これではセキュリティ保護の効果は薄くなってしまう。システム側で監視したり、利用者に意義を説明してルールの遵守を求めるなどの対策が必要だ。

パスワードを自動生成してIDと一緒に暗号化して記録するパスワード管理ソフトや、シマンテック社の「ノートン360」のようにその機能を持ったセキュリティソフトも存在する。ソフトのマスターパスワードさえ覚えておけば、他のパスワードは忘れても大丈夫という仕組みだ。こうしたソフトを使うのも良いだろう。

近年では、パスワード入力の代わりに指紋認証を使ったり、「オサイフケータイ」や社員証など、ICチップを埋め込んだアイテムをセンサーにタッチして認証を行う手法も利用されるようになった。パスワードは他者に知られてしまったことが分かりにくいのに対し、いずれも偽造しにくく携帯電話や社員証の盗難は発覚しやすいため、迅速な対応が可能なのだ。

このように、セキュリティを守る技術は日進月歩だ。しかし、セキュリティを守るには最新のシステムを導入すれば良いというものではない。正しい運用、そして、利用者の意識と知識が必要なのである。

パスワードを正しく扱うことは、もっとも身近なセキュリティ対策のひとつだ。あらためて、ここから始めてみよう。

著者プロフィール

斎藤幾郎
フリーライター。パソコンやインターネット等の初心者向けの解説記事を中心に手がける。現在、朝日新聞土曜版「be」で「デジタル若葉マーク」を連載中。同紙「てくの生活入門」にも寄稿。近著に「パソコンで困ったときに開く本2008」（アサヒオリジナル）「グーグル100%利用術」（朝日文庫）「てくの生活入門」（講談社、一部を担当）などがある。

1. 壱の鍵：データ漏洩は75日じゃ収まらない
2. 弐の鍵：データだけでなくパソコンも守れ
3. 参の鍵：利用者の「知識」と「意識」も鍛えよ
4. 四の鍵：「見た目が同じ」だけでは安心できない
5. 五の鍵：ケアレスミスが招く情報流出
6. 六の鍵：パスワード泥棒に注意
7. 七の鍵：システムを台無しにする「ルール違反」
8. 八の鍵：自社サイトの「デザイン」は安全か
9. 九の鍵：安全だが課題も多い「生体認証」

• トップページへ戻る