女優iCloud不正アクセス事件から、私たちは何を学ぶべきなのか

今日は、当店の沿線である東武東上線で大きな脱線事故があり、生徒様が帰宅できるかどうか?といったことも含め、心配な一日でした。

同時に、それと同じくらい、女優さんたちのプライベート写真が不正アクセスによってのぞき見された、というニュースでもちきりでした。

今日は、緊急特集として、この女優さんのiCloudやFacebookが大量に侵入された事件から、私たちはなにを学ぶべきか?　どうすれば、安全にパソコンやスマホが使えるのか?ということを書いてみます。

重大な弱点をかかえる「パスワード」。名前や誕生日は入れてはいけない、というけれど・・・

今回侵入された方々のお話がニュースで流れていますが、いずれもこんな話です。

「名前と誕生日を組み合わせたパスワードだったので、良くなかったと反省している」(TV報道)

「捜査関係者によると、男は女性被害者の名前や生年月日などからパスワードを類推。さらに被害者のＦＢに登録されている友達のパスワードも解読し、人数を増やしていた。一部の被害者はパスワードを使い回しており、ＦＢとアイクラウドのＩＤとパスワードが同じだった。」(東京新聞)

パスワードに名前や誕生日を入れてはいけない、ということは、ものすごくあちこちで言われていることです。被害者の方々も、知らなかったわけではないでしょう。ただ、「自分は大丈夫」と思っていただけだと思います。

「パスワードの使いまわしは危険」ということも、やはり最近あちこちで言われています。誰でも、一度は耳にしたことがあるでしょう。

これらの指摘は、確かにまっとうな指摘です。当教室としても、そのとおりだと思います。

でも、待ってください。勘の良いブログ読者の皆さんは、気づいていらっしゃると思いますが、

名前や誕生日を入れない
使いまわさない

このことを厳密に守ったら、どうなるでしょうか?

多くの方が、iCloud, Google, Yahoo, Amazon,　楽天　といった、たくさんのサービスをパスワードで管理しています。

「名前や誕生日を入れない、十分な文字数のパスワードを、管理しているサービスの数だけ覚える」ということが、いったい誰にできるというのでしょうか?

「大量の、一つ一つ異なるパスワードを、毎回間違えずに入力してサービスを利用する」ということが、いったい誰にできるというのでしょうか?

誰でもできないと思います。

誰もできないからこそ、これだけ多くの警告がなされているにも関わらず、今回のような事件が起きる「隙」が生まれたのです。

パソコンに詳しくない方ほど、パスワード管理ソフトは絶対に必要

当教室は、教室運営のため、皆さんよりも少し多いくらいの多数のパスワードを使用しているわけですが、

すべて「最低文字数」の２倍以上の文字数で、可能な限り64文字以上。使用可能な全文字種(大文字・小文字・数字・可能なら記号)を使用
パスワードだけでなく、ユーザーIDも、同様の基準でランダムなものを使用
複数サービスでのパスワードの使いまわしはゼロ

という基準で運用しています。

なぜそんなことができるのか?といえば、

パスワード管理ソフトを使用しているからです。

トレンドマイクロ「パスワードマネージャー」(注:この画像は広告ではありません)

トレンドマイクロ「パスワードマネージャー」

米サイバーシステムズ「ロボフォーム」

agilebits「1Password」(アップル製品と相性が良い)

LastPass

代表的なパスワード管理ソフトを列挙しました。これらの共通の特長は、

「たったひとつの強力なパスワードを記憶しておくだけで、すべてのサービスで全部異なる強力なパスワードが簡単に使える」

ということです。

「マスターパスワード」と呼ばれる、「パスワード管理ソフトのパスワード」、これはしっかり記憶する必要がありますし、絶対に他人に知られてはなりません。しかし、それさえ覚えておけば、パスワードを作るところから自動で行うことができ、32文字、64文字といった強力なパスワードが、簡単に管理できるのです。

以前はよく、「パスワードをソフトにあずけるなんて危険」などという的外れな指摘も、たまに聞きました。

実際には「マスターパスワード」さえ厳密に管理していれば、パスワード管理ソフトを使わないことの危険性の方がはるかに大きいのです。