パスワード情報漏えい“パス漏れ”に要注意!!3人に1人が同じパスワードで複数のWebサービスを利用!
20代~60代の男女150名に聞いた!
Webサービス×パスワード管理 利用実態調査
インターネットの普及により、昨今さまざまなWebサービスが登場し便利になる一方で、サービスの拡大とその利用に伴う、パスワード管理の煩雑化と情報漏えいのリスクが存在します。
このような背景から、“NO MORE 情報漏えいプロジェクト”として、Webサービスの利用実態とパスワード管理状況をテーマにインターネット調査を実施。調査結果については、本プロジェクトの監修者である徳丸浩氏(HASHコンサルティング株式会社代表)より解説をいただきました。
調査結果ダイジェスト
“パス漏れ”に要注意!
3人に1人が同じパスワード設定で複数のWebサービスを利用
パスワードの使い回しによる情報漏えいリスクが増加!
【調査概要】
■ 調査方法 :インターネット調査
■ 調査機関 :エムオーテックス株式会社
■ 調査期間 :2014年10月27日(月)~12月22日(月)
■ 対象者 :20~60代の男女(150名)
■ 調査対象地域 :全国
※本リリース内容の転載にあたりましては、出典として「MOTEX調べ」という表記をお使いいただけますよう、お願い申し上げます。
Webサービスの利用状況について
■ 76%が複数のWebサービスを利用。“パス漏れ”に要注意!
3人に1人が同じパスワード設定で利用している実態に。
Webサービスの利用状況について伺ったところ、WebメールやSNS、ECサイトにおいて複数のサービスを利用しているユーザーは76%に及ぶことが分かりました。
(MA n=150、Webメール・SNS・ECサイトの利用状況において全てつかっていないと回答=35)
さらに、そのユーザーに対してパスワード設定状況を調査。ユーザーの3人に1人が、同じパスワード設定のもと複数のWebサービスを利用している事が明らかに。パスワードが起因する情報漏えい“パス漏れ”のリスクを抱えるユーザーが多数いる実態が分かりました。
以下は、WebメールやSNS、ECサイトといったWebサービスにおいて、同じパスワード設定で利用する際に潜む“パス漏れ”リスクについての調査結果となります。
■ 96%がWebメールを使用、約半数は複数のサービスを利用している状況。
Webメールの利用状況で、第1位:Gmail(36.5%)、第2位:Outlook.com(25.9%)、
第3位:Yahoo!メール(23.5%)という結果に。上位3つのサービスで約9割を占める結果となりました。また、Webメールユーザーの半数以上が複数のサービスを併用していることが分かりました。
このような状況でも“パス漏れ”のリスクは存在します。さまざまなサービスで会員登録をする際、メールアドレスがユーザーIDとしてそのまま利用されるケースは少なくありません。Webメールで利用しているパスワードと同じものを設定することで、Webメールのパスワードがとても漏洩しやすい状況になります。Webメールで設定しているパスワードの使い回しは要注意です。
■ 97%がSNSを利用。7割が複数のSNSを併用。
■ Facebookユーザーの約4割が自分の情報を全員に公開、
もしくは公開設定を気にしたことが無い状況。
SNSの利用状況について伺ったところ、97%が利用しており、そのうち71%は複数のサービスを利用していることが分かりました。また、利用しているSNSの第1位、第2位となったLINE、Facebookを併用しているユーザーは約半数以上という結果でした。
さらに、Facebookの公開設定について調査したところ、「全員に公開」もしくは「わからない・気にしたことが無い」と約4割のユーザーが回答。最近では、SNS間のサービス同士の連携機能が強化され、ユーザーの自動紐づけや投稿ページの共有など、ユーザビリティが向上しています。その反面、SNS利用における設定方法次第では、予期せぬかたちで個人情報の漏えいが起きる可能性があります。例えば、LINE IDの交換からLINEを介して個人のFacebookページの割り出しを行うなど、個人情報漏えいの危険が潜んでいます。SNS間の連携を行う場合は、各SNSのセキュリティ機能を理解した上で慎重に設定を行う必要があります。
■ 約95%がECサイトを利用。そのうち半数以上が複数のサービスを併用。
ECサイトについては、約95%ものユーザーが現在利用しており、ユーザーの半数以上が複数のECサイトを併用していることが分かりました。各社がさまざまなサービスを展開しており、注文したその日に品物が届いたり、ポイントで商品購入ができたりと非常に便利なツールとなっています。
一方、ECサイト利用時は会員情報と合わせてクレジットカード登録を行い、Web上でクレジット決済をするケースは少なくない状況です。しかしパスワードが漏れてしまい、ログインを突破されてしまうと登録した個人情報やクレジットカード情報が盗まれてしまい、大きな被害を被るリスクがあります。
パスワードの使い回しに伴う、情報漏えいのリスクは非常に高い中、ユーザー自身が始められる対策として、パスワード設定の見直しはとても重要です。
徳丸先生の調査総括
パスワード設定において、一般的には「英数記号を混ぜた、意味を持たない文字列(8文字以上)」が理想だと言われています。しかし、全てのサービスにこれらのパスワードを設定して、それを覚えておくのは不可能に近く、だからこそリスクはわかっていても「パスワードの使い回し」をしてしまいがちです。基本ですが、IDと同じにしたり、誕生日や電話番号、車のナンバーなど連想されやすいものは絶対に避ける必要があります。また、悪意のあるものによる攻撃の場合「総当たり攻撃」といって、辞書にある単語を片っ端からいれていくという手法があります。なるべく想像しにくい文字列にすることが重要です。
■避けたいパスワード例:
19800311、123456、09012345678、45-32、password
■有効なパスワード例:
sds9#M5hg
ただし、「sds9#M5hg」のような文字列を10個も20個も覚えておくことはできないので、「自分のルール」を作って、それに従いパスワードを作ることを推奨します。
徳丸 浩(とくまる・ひろし)HASHコンサルティング株式会社代表エムオーテックス株式会社技術顧問
独⽴⾏政法⼈情報処理推進機構(IPA)⾮常勤研究員
1985年京セラ株式会社⼊社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課⾦基盤の⽅式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年独⽴。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を⾏っている。