パスワード強化は脅威の「見える化」で!


この記事の所要時間: 330秒 〜 430秒程度(2021文字)


Twitterアカウントの乗っ取り事件が後を絶たない。
4月には、何者かがAP通信のTwitterアカウントをハックして、『ホワイトハウスで2度の爆発、オバマ大統領が負傷』という嘘のツイートを投稿。ほんの短い時間とはいえ、ダウ・ジョーンズ平均株価が急落する事態を招いた(参考:AP通信のTwitterにハック被害、『ホワイトハウスで爆発、オバマ大統領負傷』など虚偽ツイート|Engadget Japanese)。その前の2月には、バーガーキングのアカウントが乗っ取られ、アイコンがマクドナルドのロゴに変わるという事件も起きている(参考:バーガーキングが「マックに売られた」? ツイッターで乗っ取り|CNN.co.jp)。どのような方法でアカウントが乗っ取られたかの詳細は不明だが、このような事件があるたびに言われるのがパスワード強化の重要性だ。
 
しかし、実際に使われるパスワードはなかなか変わらない。
ハッキングされたパスワードデータを集計すると、いまだにpassword、123456、qwerty、letmein、111111などが上位に入るというのだから、驚いてしまう(参考:2012年、最もポピュラー(危険)なパスワードトップ25|ギズモード・ジャパン)。いろいろな対策を行なっても、利用者一人一人がこんなパスワードを設定するようでは、セキュリティも何もあったもんじゃないだろう。
 
パスワードが強化されない原因の一つは、乗っ取りの脅威にリアリティが感じられないことだろう。ハッカーだって暇ではない。AP通信やバーガーキングのアカウントは乗っ取っても、自分や自社のアカウントに手を出すこと油断するのだ。もちろん、それはそれで確かなのだが、プログラムを使った無差別攻撃の可能性は残る。また、強度の弱いパスワードが設定された機器やアカウントが多数あることが、システムにとって潜在的な脅威なのは間違いない。パスワード強化は他人事ではないのだ。
 
そんな中、先日、身近な乗っ取りの危険を実感できる好事例があった。
大阪の橋下徹市長のTwitterアカウントが「スマイルプリキュア」とつぶやいた事件だ。
 

 


ハッカー(?)は小学一年生

結論から言えば、この投稿は橋下市長の小学一年生の娘さんの仕業。
娘さんが橋下市長のiPhoneのパスコードを覚えていて、勝手に投稿したらしい。大袈裟に言うなら、ハッカーは小学一年生だったのだ。(参考:橋下大阪市長のTwitterアカウントに突然「スマイルプリキュア」 10万RTに|ねとらぼ
 
この件については、おもしろおかしく紹介する柔らかい記事もあれば、パスワード管理についての警鐘を鳴らす堅苦しい記事もある。しかし、この事例でもっとも重要なのは「自分の身近で起きてもおかしくない」と実感できることだろう。AP通信のアカウント乗っ取りなら自分とはかけ離れた世界で行なわれているパスワードハックだが、家族による乗っ取りは明日にでも起きそうなことに思える。
 


犯人像を「見える化」する

人は、「べき論」では動かない。
セキュリティを考えればしっかりしたパスワードにする「べき」だが、そんなことを言っても無駄なのだ。「わかりました」と答えて、そのままにする人がたくさん出る。システムを変更して複雑なパスワードの利用を強制することは可能だが、利用者の自覚を変えなければ効果は期待しにくい。そんなことをすれば、誰でも見えるところにパスワードをメモするような事態になり兼ねない。
 
人を変える動機付けとして、身近な事例は威力を発揮する。
脅威にリアリティを感じれば、人は動く。パスワードの例で言えば、大上段からべき論を振りかざすよりも、橋下市長の「スマイルプリキュア」ツイートのような事例を集めて注意喚起した方が実効性は高いだろう。
 
脅威は具体的であるほど良い。それには、パスワードを悪用する犯人像にリアリティを持たせるのが一番だ。仮面をかぶったネットの向こうの誰かではなく、家族、友人、同僚、・・・。犯人と想定するのは気が引けるだろうが、このくらい身近な脅威でないと実感は感じられない。このとき、自分の家族、友人、同僚ではなく、他人の家族、友人、同僚の事例は好都合だ。
 
「私はこうして乗っ取られました」集のようなものをつくれば、べき論で促すよりもパスワード強化が進むと思うのだがいかがだろうか。
 
こうした広義の「見える化」も、ときには大切だ。

  1. コメントはまだありません。

  1. トラックバックはまだありません。

This blog is kept spam free by WP-SpamFree.