未だ杜撰なパスワード管理

[ 最初のページ ] [ はじめに] [ 読み物 ][ 掲示板 ] [ りんく ]
 スワードは絶対他人に教えてはいけないと幾ら注意を促しても、守らない、あるいはうっかり漏らしてしまっている人も意外に多いようです。「パスワードはハッカーが盗むものである。パスワード漏洩は奴らが悪いんだから取り締まろう」などと、不勉強な、あるいは確信犯で規制賛成の片棒を担ぐマスゴミの情報に踊らされていませんか?パスワードなんでこんなことで簡単に漏れるものだ、あるいはパスワードがあっても全く意味をなさないという例を、いくつか挙げてみることに致しましょう。

Case#1 代わりにメールを見て頂戴

 電話が掛かってきました。
「自分が受信したメールの中に○○さんの住所と電話番号が書いてあるから、
それを教えて欲しい。」
外出先からで、モバイルなどというものを持たない方からの用件です。
「パスワードは・・・」
それを聞いた私は慌てて「パスワードを入れなくても既に受信したメールは読めます。」
と返答しました。
 「折角だから教えてもらっておけば良かったのに」とお思いの方がおられるやもしれません。しかし、そのアカウントで他の誰かがいたずらをした場合、あなたが真っ先に疑われることになります。下のCase#3のように。もし万が一教えられてしまったというなら、その方にすぐにパスワードの変更をしていただきましょう。

Case#2 みんなで一つのアカウント

 こんなことが、大学時代にありました。
 「どうせメールを使わせても遊びにしか使わないから、学生はみんなで一つのメールアドレスを使えばいい。」と言われ、本当に一つのアカウントにされてしまいました。これが如何に危険なことであるか、皆さんにはご理解頂けますよね。
 まず、プライバシーが全く守られません。他の人が見て「あ、○○さん宛てに来てるよ。」といって振り分けしてくれるのは良いのですが、それがわかるのはメールの内容を読んだからにほかなりません。これはほんの序の口です。
 次に、責任の分散という問題があります。誰かがそのアカウントでいたずらしたとしましょう。ばれて訴えられたとしても、誰がやったかは正確には分かりません。同じアカウントを共有している人の中の誰かである、ということは分かっても、該当する人物までは辿りつくのは難しいでしょう。たとえ、疑わしい人物がいたとしても、イタズラ行為を証明する証拠はありません。最悪でも、そのユーザーアカウントが取り消し、あるいはネットに繋げなくなって皆が困るだけでしょう。
 そして、最も留意しなければならないことは、パスワードを大切にする意識が薄れることです。久しぶりにメールを読もうとした学生が近くにいる別の学生に、「ぱすわーどなんだった?」と大声で呼びます。それに負けない大声で「アカウント名が○○○○だからそれの○国語読みで********」と答えます。私は当初より共有アカウントの危険性を悟っていましたので利用は断ったのですが、これでしっかり分かってしまいました。

Case#3 個人認証がない&メール送信にはパスワード不必要

 ボスのところに何やら不審なメールが届いたとのこと。「添付されていたファイルを開いた直後からマックが不安定になった。ウイルスじゃないか。」と大騒ぎ。実行していないのに感染するわけが無いのですが、相手は初心者。ちょっとやそっとでは理解して貰えません。さらに悪いことにはそのメール、送信者には同僚Aのアドレスが記載されていて、同僚Bのアカウントが使用されていることが発覚。二人とも身に覚えが無いとのこと。そのうち一人はタイに出張中で、発信元はオフィス内なので恐らくシロ。ヘッダの内容なぞ幾らでも偽装できるといえばそれまでですが・・。結局、個人を識別することなく誰でも自由にパソコンに触れられる環境ですので犯人を突き止めるには至りませんでした。

 似たような例では、メール爆撃をした犯人を突き止めたら、「誰かが研究室のサーバーに侵入して僕のアカウントで送っていました。」と白々しい嘘で誤魔化そうとした大学院生もおりました。「先ほど侵入者にハードディスクを破壊されたのでログが残っていません。」とでも言って証拠は隠滅しちゃえば良いわけですから、何とでも言い訳できるのでしょう。あるいは「夜中に研究室に誰かが侵入してメール爆弾を送ったようです。」と言っていたのかもしれません。これでは折角の認証システムもパーです。管理者が悪い人物だったり、日本のように組織ぐるみで不祥事を隠蔽する傾向にある社会では個人認証もきっと役に立たないことでしょう。

Case#4 ID&パスワード一覧を見せてくれた親切なお役人

 大学時代、全学生向けにパソコンとワークステーションを開放することになり、IDが配られることになりました。さっそく私は登録を済ませ、IDとパスワードを頂きに行きますと、分厚い帳面を持った大学職員が待ち構えていました。私は学生証を提示しますと、職員は分厚い帳面をめくって私のID&パスを探し始めました。慣れない仕事なのか手間取っているので、私は「え〜と、そこじゃなくて・・・」と声をかけてわざとゆっくり調べさせることに成功しました。帳面にはずらっと全学生の名前とID、初期パスワードが並んでいます。お蔭様でめぼしいものを幾つか覚えることができました。学生によっては学部で別のアカウントを貰っているので、わざわざこちらに登録しようと思わない人が多いです。あるいは、その全学生向けのサービスが始まったことを知らない人も大勢います。折角NTで個人認証できるようにしたのにこれではダメですね。せめてパスワードの書かれた紙は個々に封をして配布して頂きたかったです。コストを取るかリスクをとるか、所詮日本の大学はその程度のものなんでしょう。
(敬称略)
[ 最初のページに戻る ]