パスワードの使い回しは会社公認

パスワード運用の「新たな脆弱性」がソースポッド社の最新調査によって明らかになりました。

scan.netsecurity.ne.jp

　2020年のコロナ禍以降に業務利用目的で新規または追加でクラウドサービスを登録したか尋ねたところ、30％が「はい」と回答、その内、新規・追加登録したクラウドサービスの数は1～3つであると90％が回答している。

　引き続き「コロナ禍以降に新規または追加登録したクラウドサービスがある」と回答した者を対象に、業務利用で登録したクラウドサービスのアカウントIDについて尋ねたところ、メールアドレスを利用したのは80％となり、パスワードについても既存で使用していた1つ、もしくは複数のパスワードを流用したと回答したのは合計75％にのぼった。

　「既存で利用していたパスワードを流用し登録した」と回答した者を対象に、流用した理由を尋ねたところ、「覚えやすいから」が60％以上となり、「新しいID・パスワードが思いつかなかったから」が28.6％、「上司・会社組織等の指示」が25.9%と続いた。

元ソース（ソースポッド）

・【調査レポート】業務で利用するID・パスワード、個人利用のクラウドサービス登録時に、60％以上のユーザーが勝手に流用　～不正アクセス・なりすまし攻撃の危険性が高まっていると考えられる。『コロナ禍以降のアカウント情報管理に関する意識調査』より～

キタきつねの所感

パスワード運用の実態は、NordPassやSplashDataの出す”最悪なパスワード”を見るまでも無く、数字のみ、キーボード配列、人名、辞書単語、著名人又はチーム名など「容易に推測できるパスワード」又は多少複雑であっても「使い回し」されている事が、数々のインシデント、あるいは漏洩データから知れ渡っています。

※過去記事参考：パスワードは侵害されても変更されない - Fox on Security

多くの企業や組織は、パスワード啓蒙教育を実施して従業員の”モラル”（リテラシー）に期待しているという”建前”を維持していますが、今回の調査結果は、その”建前”すら無視する企業が多い事を物語っています。

公開されたレポートを見ていくと、いくつか気になる所がありました。本題とはずれるのですが、少し意外だったのがコロナ禍でクラウドサービス利用があまり増えていないという結果（30％）だった事です。

質問の聞き方にもよるかと思いますが、例えばZoomやGoogle Meetといったビデオ会議や、Box、DropBoxやG-Driveといったファイル共有、更にはSlack、Chatwork、LINE WORKSといったチャットサービス等々、あまり利用されていないという結果となるので、少し自分の身の回りと”ギャップがある”のかも知れません。

f:id:foxcafelate:20211217102305p:plain

この調査データの中で、パスワード運用の脆弱性を最も感じたのが、約2/3が共通パスワード（既存使用の単一のパスワード）、又はパスワードの使い回し（既存使用のいくつかのパスワードを流用）している事です。

f:id:foxcafelate:20211217113610p:plain

調査項目には、”パスワードの強度”に関する設問は、幸いな事に、ありませんでしたので、恐らく、こうしたパスワードが「15桁以上パスワード」、「完全乱数のパスワード」といった強固なものである・・・とは信じたいのですが、そうでない場合は、既に外部に何らかの形で流出している可能性が高いメールアドレス（アカウントID)と、どこか他のサイトで使い回している認証情報が洩れている可能性があるパスワードが、新たなクラウドサービスの認証情報として利用されているのだとすれば、不正アクセス事件が多発する未来しか思い浮かびません。

多数の機器やサービスを管理するIT管理者が対象というのであれば、管理しているアカウント数が膨大になる事が多いので、パスワード管理が難しいという現状は理解できなくもありません。しかし、今回の調査はそうした部門制約がない、全国500人の会社員・役員・公務員の方へのアンケートとなっていますので、普通の方がこうしたパスワード運用をしている事となります。

一定規模の会社や組織であれば、過去にセキュリティ教育を受けているとは思いますが、そうした教育で効果が無いのであれば、せめて上司が気づいた時に”部下を指導する”べきだと思うのですが、残念ながらそれも期待できない様です。

f:id:foxcafelate:20211217114745p:plain