ノマサラ

なぜ大企業のパスワードセキュリティは脆弱になるのか

每日のように企業の情報漏洩が無くなりません。約1万件の個人情報が漏れたY運輸、約3万件の個人情報が漏れたS急便、内部の人間がデータを持ち出し個人情報3500万件が漏れたBコーポレーション、個人情報約870万件が漏れた◯TBなど枚挙に暇がありません。

こうやってブログを書いている間にもどこかの企業で情報漏洩が起こっています。これは中小企業だけでなく、本来セキュリティが高いはずの大手企業からの情報漏洩も多く、未だに無くなりません。

理由はいくつかありますが、まずは「自社のセキュリティレベルをトップが把握していない」のが原因でしょう。情報システム部の担当者はそれなりに危機感を持っていて、「今のセキュリティレベルではヤバいので対策を打つべきだ」と上司に進言しても「セキュリティ対策にこんなに経費がかかるなら今のままで大丈夫ではないか」と突き返されることが多いと聞きます。

一旦、情報が漏れると賠償金がとんでもない額になるのですが、実際痛い目に合うまでわからない。Bコーポレーションは情報漏洩した可能性のある顧客に500円分の金券を送りました。金券以外に郵送費や作業費などの人件費を含めるととんでもない額になります。この場合は内部犯行だったためセキュリティレベルを上げていても同じだったかもしれませんが、多くは外部からのハッキングにより情報漏洩しています。

自社のサイトのURLを入れるとセキュリティレベルをチェックしてくれるサイトがありますので一度確認してみてはいかがでしょうか。

QUALYS SSL LABS SSL Server Test

HOST NAMEの欄に調べたいページのURLをコピペすると2〜3分で調べてくれます。ただし暗号化されたページのみ。

ランクはセキュリティが頑丈な方からA+,A,B,C,D,E,Fの順で一番最下位がTになります。URLを入れてみるとその企業のシステムの強度がわかります。例えば「トヨタ自動車」で検索、出てきた「トヨタ自動車WEBサイト」クリックし、表示されたページ内に[会員ログイン]などのボタンをクリックすれば「https://toyota.jp/・・・」などの暗号化されているページが表示されます。そのページの「https://」と余分な部分を除いた「toyota.jp」のドメインをチェックサイトに入力してやればセキュリティレベルが表示されます。トヨタ自動車はさすがのAランク。

その他のハッキングされる大きな理由は「定期的にパスワードを変えるよう指示されること」にあります。弊社でも先日、パスワードを定期的に変更するように指示がありました。それまでも何度か指示がありましたがスルーしていました。しかし今回はパスワードを変えたかどうか一人ずつ把握しているので必ず変えるようにと強気のメッセージ。ここまで指示されるとさすがに変えざるを得ません。

今までパスワードを変えなかった理由は「パスワードを変えるとどんどん簡単なパスワードになり脆弱になるから」。定期的なパスワード変更は、まさにハッカーの思うツボでパスワードを定期的に変えると自分で考えた覚えやすいパスワードが使えなくなり、変えるごとに適当な単純なパスワードになっていきます。例えば8桁だと01234567とか12345678とか。酷いのは00000000とか。

簡単なパスワードには設定しないようにと言われても、いくつもあるIDに紐付けされたパスワードを覚えられるはずもありません。MacやiOSの場合は1passwordという便利なアプリがありますが会社のWindowsにそんなものは存在しません。

となると大抵は数字の簡単な羅列になります。こうやってハッキングする側にとってはどんどん楽に破れるようになっていきます。

もちろん、理由はこれだけではありませんが定期的なパスワード変更は本当に無意味。ただしサラリーマンだとこう言った指示が来たら従わざるを得ず、「あなたの指示は間違ってます」とも言えないので、時間が経てば経つほど社員のパスワードが簡単に、脆弱になっていきます。

もしどうしてもパスワードを変えざるを得ない場合は2つの複雑かつ覚えられるパスワードを使い回すことをおすすめします。

ほな!

モバイルバージョンを終了