チョコレートと引き換えにパスワードを教える？

Scott Granneman（SecurityFocus）
2004年5月28日（金）12:29 GMT

国際海外情報

2004年6月8日（火） 12時00分

Scott Granneman（SecurityFocus）
2004年5月28日（金）12:29 GMT

　セキュリティ専門家だけでちょっと話したいことがある。最近、気になるニュースを目にした。それは、チョコレートと引き換えに自分のパスワードを教えてもよい、という人が 70% もいるのだ。それを読んだ時、何とも嫌な後味が口中に残った。さらに最悪なのは、34% が何の見返りもなしに自分のパスワードを提供するということだ。いったい何を考えているのだ！

　明らかに、パスワード秘匿の重要性に関して大衆を啓蒙しなければならないようだ。ついでに、優れたパスワードを提示するのが良いだろう。"ビール" とか "123456" のようなパスワードを見た日には、私同様ゲンナリすること間違いない。

　ここで私から提案がある。以下の文章をコピーして、それを必要とする人全員に送信して欲しい。誰が必要としているのか、分っているだろう。但し、この部分は除いて送って欲しい。我々がこっそり陰口を叩いているのを知られたくないからだ。以下の文章を送るだけでよい。そして、フォローの電話をかけて少し話し、相手から "分かった" という言質を取ればよいのだ。それは万能の方策とは言えないが、第一歩となるだろう。

　そして、彼らの一人が手にチョコレートを持たずに、休憩から戻ってきたのなら、その人のパスワードは直ちに変更されるだろう。以下の文書をコピーして差し出しなさい。

───────────────────────────────────
安全で簡単なパスワード
Scott Granneman c Copyright 2004 SecurityFocus.com

　あなたは今、しなければならない事をたくさん抱えているだろう。でも、ほんの数分時間を割いて欲しい。とても重要なことを話したいのだ。それは、コンピュータ・パスワードについてだ。

　ところで、私が言う "コンピュータ・パスワード" というのは、あなたがコンピュータにログインする時に使用するパスワード、そしてあなたが訪問する全ての Web サイトにログインする時に使用するパスワードを指す。

　まず初めに、あなたがいくつのパスワードを覚えていなければならないのか、そして日に何度そのパスワードを入力する必要があるのか、その煩雑さは理解しているつもりだ。それら全てのパスワードを常時使用しなければならないとは、まったく面倒きわまりない。そして、私自身でも全てのパスワードを記憶しておくのは、容易なことではない。まったく、時にはお手上げと感じる場合もある。

　残念なことに、コンピュータ・セキュリティに関してはせいぜいパスワードが現在、我々が行使できる全てと言えるだろう。"生体認証" という言葉を聞いたことがあるかもしれない。生体認証とは、身体の一部（例えば、指紋、目、声など）をスキャンして本人確認を行うことだ。生体認証は現在、利用可能であるが、以前として高価な技術だ。加えて、常に正しく機能するわけではないため、多くの人たちはプライバシーという観点から、この技術に対しもっともな反対意見を持っている。従って、生体認証が普及するにはまだ時間がかかるだろう。

　一部の人たちが小さなカードを保持しているのを見たことがあるかもしれない。そのカードの番号は毎分、変更する。ユーザはその番号と PIN を入力し、そして必要な場所にログインできる。しかしご想像の通り、そのソリューションは高額の上に、訪問したいと思う Web サイト毎に違うカードを持つことは実用的ではない。同様の方法は他にもあるが、皆似たような問題を抱えている。つまり、まだ高額で仕組みが複雑なため、時期尚早ということだ。そういう訳で、当分の間はパスワードに頼らざるを得ないのだ。

　パスワードの使用は必須であるため、その取り扱いには十分な注意を払う必要がある。できるだけ秘匿にすることが重要だ。それを実現するには、次のような方法がある。あなたは車のキーを安全な場所に保管しているだろう。仮に、通りで見知らぬ人があなたに近づいて来て、車のキーを貸して下さいと言ったとする。あなたは彼の要求を拒否するだろう。理由は、見知らぬ人が自分の車を使用するなどは論外である、と考えるからだ。たとえ、友人に頼まれたとしても、よほど緊急なことでもない限り、キーを渡したくないと思うだろう。

　車のキーは一つの事例だが、同じ事が家の鍵やパスポートについても言えるだろう。また、運転免許やクレジットカード番号、銀行の口座番号、社会保障番号なども然りだ。特定の物や情報が悪人の手に渡ってトラブルが発生するのを阻止するため、それらを安全に保管することを我々は認識している。

　それと同じ事がパスワードにも言える。パスワードを知っている人が多いほど、それだけ問題が発生する率が高くなる。事実、パスワードが推測し易いほど、何か問題が発生する率が高くなる。従って、適切なパスワードを選択し、それをできるだけ秘密にしなければならない。

　次にあなたは、こう考えるかもしれない。『では、パスワードを知られてしまったらどうなるのか？私には隠すべきものなどない』。問題は必ずしも誰かがあなたのコンピュータの中身を見るということではない。ここで重要なのは、ハッカーがあなたのパスワードを利用して、あなたの知らぬ間にコンピュータの制御を奪う可能性があるということだ。そして、ハッカーはあなたのコンピュータを利用して悪事を働く。例えば、政府機関のコンピュータへの攻撃、幼児ポルノの不正売買、何千通ものスパムメール・メッセージの送信などだ。それらの悪事はあなたのコンピュータから行われるため、あなたは当局から呼び出されて窮地に立たされることになる。コンピュータは証拠として押収され、家は捜索で滅茶苦茶になるだろう。そしてあなたは罪に問われるのだ。確かに、あなたは無実だ。しかし警察の取調べを受け、裁判所や弁護士との交渉を余儀なくされるだろう。それにかかる時間、お金、エネルギーは相当なものだ。これは単なる脅しではない。あなたが思っている以上に頻発する犯罪なのである。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》