足立区にもの申す!? パスワード、これだけは守れ!
今朝8時10分頃、足立区の公式Twitter(@adachi_city)より意味不明なツイートが投稿され話題になっています。ツイート本文には「、あのほ、ふ?す、はる。ほは、はふ、は、ろほ、ふ、る、、るわ」と書かれ、Yahooで「グレングールド」(カナダのピアニスト)を動画検索したURLが添えられていました。
出典:足立区のTwitterから意味不明なツイートが投稿される 「内部の者による投稿は状況的にありえず原因調査中」【ねとらぼ】
1月12日の朝、足立区の公式ツイッターに意味不明の文章(スイート)が投稿されました。足立区としては投稿した覚えがないとしています。通常、区役所内のネットワークから投稿するのですが、外部から投稿された形跡が有る事から、内部の人間の不正使用でない限り、パスワードが外部に漏れた可能性が高いでしょう。後日の毎日新聞の報道では、
区による通常のツイートは庁内の管理システム経由か、担当職員3人が専用端末で行っているが、この書き込みはインターネットから直接ログインしていた。担当者は「パスワードを最後に変えたのは昨年4月。今後はこまめに変更し、専門家に相談して再発を防ぎたい」と話している。
として、担当者がパスワードを頻繁に変えなかった事が原因との事ですが、それは大きな間違いです。正確に言えば、こまめに変更する事も無意味では有りませんが、本質では有りません。パスワードが担当者以外に漏えいする事が問題なのです。まず足立区が行わなければならない事は、パスワードの管理であって、具体的言えば、誰がツイッター投稿のパスワードを知っているか、それ以外の人がパスワードを知らないように限りなく行う事なのです。まず推測され難いパスワードを設定し、ツイッターを投稿できる投稿者が複数であるならば、それぞれ一人一人がパスワードを漏れないように厳重に扱う必要が有ります。投稿者が変更になった場合、特に投稿者が罷免された場合は、すぐに新たなパスワードを設定し直さなければなりません。これが本質であり、適時パスワードを変更していく事だけを重視すれば、そのパスワードを授受する際に、思わぬセキュリティリスクを背負い込む事になります。たとえば、毎回関連性のあるパスワードにしたり、パスワードの送信をメールやメモで行う事で漏えいする機会を数多く作ってしまう等です。
ランサムウェアといった脅迫型マルウェア(ウイルス)、標的型攻撃等、一般の人々にとって耳慣れない言葉で、ネットの危険性を指摘している昨今ですが、実は、一人一人の個人にとっては、最も深刻な被害を受ける可能性があり、さらにその中でも最も利用される攻撃がパスワード不正使用、つまり個人のパスワードを搾取したり、推定したりして、その個人に成り済ます攻撃なのです。
IDとパスワードは、個人を特定する大切な情報です。自己管理を徹底し、他人に教えないでください。
警視庁からもパスワードに関する注意喚起が出されています。パスワードの自己管理を徹底するという事は、パスワードが他人に漏れない事なのです。その手段(対策、方法)としていくつかの注意が成されています。基本的にそれらすべての注意事項を守る必要があります。その中の一つでも疎かにすれば、パスワードが漏れて深刻な被害を受ける可能性が高くなるのです。しかし、それぞれの注意事項には重要度(深刻度)の順位が有ります。一番大事な注意事項は「他人に教えない事」です。その次に大事な事は「推測され難いパスワードを作る事」なのです。三番目には「パスワードの使い回しをしない事」でしょう。自分がいくらパスワードの管理を万全にしたとしても、サービス側が漏らしてしまう事がないわけではありませんから。
安心してネットやスマホを楽しむための胸キュン・ラブストーリー、出展中の「マンガポスター」をスライドでご覧いただけます。
国のIT国家戦略を支える機関であるIPA(情報処理推進機構)からも分かり易く、親しみ易くパスワードの注意事項を示しています。その中でも上記の3つの注意事項について強く守るように指示しています。
