足立区にもの申す!? パスワード、これだけは守れ!
1月12日の朝、足立区の公式ツイッターに意味不明の文章(スイート)が投稿されました。足立区としては投稿した覚えがないとしています。通常、区役所内のネットワークから投稿するのですが、外部から投稿された形跡が有る事から、内部の人間の不正使用でない限り、パスワードが外部に漏れた可能性が高いでしょう。後日の毎日新聞の報道では、
として、担当者がパスワードを頻繁に変えなかった事が原因との事ですが、それは大きな間違いです。正確に言えば、こまめに変更する事も無意味では有りませんが、本質では有りません。パスワードが担当者以外に漏えいする事が問題なのです。まず足立区が行わなければならない事は、パスワードの管理であって、具体的言えば、誰がツイッター投稿のパスワードを知っているか、それ以外の人がパスワードを知らないように限りなく行う事なのです。まず推測され難いパスワードを設定し、ツイッターを投稿できる投稿者が複数であるならば、それぞれ一人一人がパスワードを漏れないように厳重に扱う必要が有ります。投稿者が変更になった場合、特に投稿者が罷免された場合は、すぐに新たなパスワードを設定し直さなければなりません。これが本質であり、適時パスワードを変更していく事だけを重視すれば、そのパスワードを授受する際に、思わぬセキュリティリスクを背負い込む事になります。たとえば、毎回関連性のあるパスワードにしたり、パスワードの送信をメールやメモで行う事で漏えいする機会を数多く作ってしまう等です。
ランサムウェアといった脅迫型マルウェア(ウイルス)、標的型攻撃等、一般の人々にとって耳慣れない言葉で、ネットの危険性を指摘している昨今ですが、実は、一人一人の個人にとっては、最も深刻な被害を受ける可能性があり、さらにその中でも最も利用される攻撃がパスワード不正使用、つまり個人のパスワードを搾取したり、推定したりして、その個人に成り済ます攻撃なのです。
警視庁からもパスワードに関する注意喚起が出されています。パスワードの自己管理を徹底するという事は、パスワードが他人に漏れない事なのです。その手段(対策、方法)としていくつかの注意が成されています。基本的にそれらすべての注意事項を守る必要があります。その中の一つでも疎かにすれば、パスワードが漏れて深刻な被害を受ける可能性が高くなるのです。しかし、それぞれの注意事項には重要度(深刻度)の順位が有ります。一番大事な注意事項は「他人に教えない事」です。その次に大事な事は「推測され難いパスワードを作る事」なのです。三番目には「パスワードの使い回しをしない事」でしょう。自分がいくらパスワードの管理を万全にしたとしても、サービス側が漏らしてしまう事がないわけではありませんから。
国のIT国家戦略を支える機関であるIPA(情報処理推進機構)からも分かり易く、親しみ易くパスワードの注意事項を示しています。その中でも上記の3つの注意事項について強く守るように指示しています。