不正ログイン事件が頻発している。LINEのアカウント乗っ取り(被害を調査中)、楽天ダウンロードでの身に覚えのない「ドラクエX」購入、mixiでの最大4万人規模の不正なログイン……6月、サービス提供各社は利用者へID/パスワードの早急な変更を呼びかけている。

被害を招く主因は、実は外からの攻撃ではなく、ユーザーが「同じパスワードをあちこちで使い回す」ことだ。複数のウェブサービスで同じパスワードを使うユーザーは格好の標的。ハッカー側は、最初はセキュリティが弱いサイトを狙ってアカウント情報を入手しリスト化、それをほかのサイトのログイン画面で繰り返し試す。一般に「アカウントリスト攻撃」と言われるハッキング手法だ。

トレンドマイクロが6月12日に発表した「2014年パスワードの利用実態調査」によると、約85%の人が5種類までのパスワードを使い回しており、2~3種が56%、4~5種が12%、何と1個のパスワードですべてのウェブサービスを利用している人が15%もいた。

使い回しの理由は明快だ。パスワードを忘れてしまう、異なるパスワードを考えるのが面倒……セキュリティの専門家は、パスワードはいろいろ交ぜて8文字以上で作成せよ、ウェブサービスごとに変えろ、書き残すなという。しかしそんな複雑なパスワードをいくつも覚えられるだろうか。先のアンケート結果の通り、専門家の言うことはそもそも無理がある。

ならばどうするか。できる範囲でやることだ。たとえばID/パスワードは別々にノートや手帳に記録する。覚えられないならパスワード管理ソフトを使用する。書くのが嫌なら作成ルールを考え、頭の中でパスワードをつくり出す方法もある。強度を高めるため、無料のパスワードチェッカー(マイクロソフト社)を使って、文字列をいろいろ試せばよい。

しかし最も重要なことは、パスワードの強度を高めることに汲々とするより、利用サイトからパスワード変更の依頼がきたらいち早く対処すること。日々ネットのニュースにも注意を払うことだ。

またホテルや空港、図書館など不特定多数が利用するパソコンを使ったら、最後は必ずログオフすべし。画面を閉じただけでは情報が残る。そもそもそんな端末でのネットバンク利用やクレジットカードでの買い物など論外だ。