パスワード使い回しは絶対ダメな理由 〜ユニクロの情報漏えいが示すこと〜
衣料品を展開するユニクロが自社の通販サイトに不正ログインが行われ、その件数が46万件に上ると、5月13日に明らかになりました。その発表を受けて、マスコミ各社が一斉に、例えばITmediaでは「ユニクロ・GUの通販サイトにリスト型攻撃、不正ログイン46万件 氏名や住所、身体のサイズなど流出」と報道しました。報道各社ともにその内容としてはユニクロからのプレスリリースをなぞる形で行われています。主な内容としては、住所氏名電話番号等の個人情報と購入履歴、それにクレジットカード番号の上4桁と下4桁、さらに衣料品関係独特でしょうが、身体のサイズ情報が漏れ、それが46万件であったということです。また、不正アクセスの方法として、パスワードリスト型攻撃が用いられたとまとめられています。
パスワードリスト攻撃について若干の説明を行なっている報道機関もありますが、それ以上の解説は皆無です。ここではユニクロに対するパスワードリスト攻撃の意味と46万件という数字について考察します。
パスワードリスト攻撃とは、すでに漏えいしているアカウント名(ID)とパスワードの組を用いて、他のサイトに不正アクセスする方法です。パスワードを使い回し、すなわち異なるサイトあるいはサービスでも同じID、パスワードを利用してしまうと、セキュリティの甘いサイトから漏えいしてしまったパスワード等が、セキュリティ対策を強力に施されているサイトであっても、そこの適用されてしまい、容易にアクセスできることになるのです。現在ではありとあらゆるサービスを受けており、数年前に必要と思って受けたサービスが現在では全く使っておらず、そこに同じパスワードを使っていると、それが漏れたこと自体が意識されず、それが悪用されてしまうのです。そのようなIDとパスワードの組が何千万件、何億件と集められ、売買されているのです。自分の責任ではなく、知らず知らずの間にパスワードが漏れてしまうことがあり得るということです。Yahoo!Japanですら、かつて100万件以上のIDとパスワードの組を漏えいしたことがあり、最近では、大手の情報システム会社が運営していたファイル転送サービスである「宅ファイル便」が480万件ものIDとパスワードの組を漏えいしています。どのような大きな企業であろうが、セキュリティがしっかりしていると評判の企業であろうが、絶対に情報漏えいを起こさないとは言い切れないのです。
今回のユニクロの事件において、不正をはたらく者にとって、パスワードリスト攻撃の有効性が示されました。つまりパスワードリスト攻撃の深刻さが明らかとなったのです。
ユニクロは全世界に展開する衣料品販売店であり、その店舗展開こそ目立っていますが、今では同等以上の主軸がネット販売、通信販売に移りつつあります。ユニクロは2,000年度からネット販売を行なっており、特に世界展開を積極的に行なっている現在、中国では全体の15%、アメリカでは20%, 日本でも7%ですが、年率で平均30 %以上の伸びを示しています(2018年8月期の決算より)。スマートフォンアプリの市場動向調査を行なっているApp Annieの2018年の調査結果では、ゲームや動画視聴等のエンターテイメント系を除いたライフスタイル系のアプリでは、ユニクロのスマホアプリはセブンイレブンのアプリに続いて、国内2位の流通を誇っています。そのアプリ、特に実際に利用している人(ID)の数(アクティブユーザ数)ですが、確かな数字は発表されていません。しかしある程度信頼できる数字として、国内ネット人口や一部のアンケート調査報告の数字から類推されるアクティブユーザ数は700万人ほどと考えられます。存在するIDの数はそれ以上でしょう。
パスワードリスト攻撃を受けて、不正アクセスが行われたユーザ(ID)数は46万件ということでした。おそらく数億件というIDとパスワードのリストを利用して、ユニクロのサイトに対して、そのIDとパスワードを用いてログインしたところ、46万件が成功した、つまり不正アクセスが可能であったということです。何と6%以上の人が、パスワードの使い回しを行なっていたという結果に導かれるのです。
パスワードを利用する際の注意として、必ず使い回しをしないように、と言われて久しいわけですが、その注意も虚しく、まだまだ多くの人が、結果的に使い回しているという事実が明らかになったのです。