報道によると、mixiやニコニコ動画、LINEなどで不正ログインが相次いでいるようです。こういった事件はここ一年ほどで増えているような気がします。
最近の不正ログイン事件の手口は、パスワードリスト攻撃とよばれる手法が多いようです。この攻撃は、悪意を持つ第三者がなんらかの方法でID/パスワードのリストを入手し、そのリストを元に各種サイトへのログインを試みるものです。
この攻撃手法の背景には、多くの人がID/パスワードを使い回している、という実態があります。リストのない状態でパスワードの総当たり攻撃(ブルートフォース攻撃)に比べると100倍以上の成功率という情報もあります。元のリストがどのような形で流出するかは定かではありませんが、アンダーグランドな世界ではリストが売買されており、誰しもが被害者になり得る状況です。
こういった攻撃に対しては、パスワードの使い回しをしないというのが基本で、IPA(独立行政法人 情報処理推進機構)からは「2013年8月の呼びかけ」といった情報もでていますが、少々現実味にかけます。IDとパスワードのリストを別々に管理するという面倒なことを多くの人が実行するとは思えません。
多くのID/パスワードを管理するツールも存在していますが、一人が複数のデバイスを使いこなすマルチデバイス時代について来られているツールは少ないのが現状です。PCでは使えるがスマートフォンでは使えない、という状態ならユーザは管理ツールを使わずに簡単なパスワードの使い回しを選択することでしょう。
パスワードによりセキュリティを担保する仕組み自体が破綻しつつあるのかもしれません。一人あたりの利用サイトが増え続ける中で、サイトごとにパスワードを変えるというのはもはや現実的ではありません。そろそろパスワード以外のセキュリティ手法を考えなければいけない時期かもしれませんね。