使いまわしちゃダメだからね!・・・
ITmediaの記事に、 「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性 リスト型攻撃で てのがありました。
エン・ジャパンは3月30日、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表したそうです。
記事によると・・・
外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。
エン・ジャパンによれば、事態に気付いたのは27日。不正ログインを確認し、詳細に調査したところ、20日から27日にかけてリスト型攻撃を受け、履歴書にアクセスされていた可能性が判明したという。
だそうです。この手の情報漏洩事案については枚挙に暇がないですね。今回の「リスト型攻撃」については記事にもあるように、外部で取得したID・パスワードを悪用して総当たりで不正ログインを行う攻撃手法です。
この「外部で取得したID・パスワード」というのは、どこかの企業から漏れた「ID・パスワード」のセットがダークウェブなどで売られているものを利用している場合があります。
「ID・パスワード」がセットで漏れているので、どんなに強力なパスワードでも意味がありません。パスワードの強度についての議論がよくありますが、「123456」のような脆弱なパスワードは論外ですが個人的にはパスワードの強度はどうでもいいと思っています。
今回のようにリスト型攻撃の場合「ID・パスワード」のセットで漏れた場合はパスワードの強度は意味を持たないからです。
重要なのは、「パスワードを使い回さないこと」
これに尽きます。
IDとパスワードがセットで漏洩したとしても被害を最小限で食い止めることができます。
本日の別の記事で、奈良女子大で情報漏えいか 約5000人分の氏名やメアドがのぞかれた可能性 原因は学生のパスワード流用 とのニュースもありましたが、こちらも学生がパスワードを流用したのが原因だそうです。
パスワードを使い回さないためには、”1つのIDには1つのパスワード”を徹底することが必要です。
既に多くのIDとパスワードを要求するサービスがある現状では、手動での管理はほぼ不可能です。
そのために、ウチでは以前のブログの パスワード管理を全て「Bitwarden」に任せてしまった理由・・・ とのエントリーにてご紹介したパスワード管理サービスの利用を推奨しています。
普段より「IDとパスワードはセットで漏れるもの」という考えの元に被害を最小限で抑えるための工夫をしておきたいものです。