「流出している可能性があるから」と言われても、イメージがぼんやりとしている方も多いのではないでしょうか。
そこで今回は、実際に起きた事例をもとに、リスクを具体的に考えてみましょう。
有名な流出パスワードリスト「Rockyou.txt」
「Rockyou.txt」という流出パスワードリストをご存じでしょうか?
これは2009年に流出した何千万件ものパスワードがまとめられたリストです。
2009年と聞いて安心していませんか?
実はその後もRockYouという名前のパスワードのリストが公開されています。
- 2021年には「RockYou2021」
- 2024年には「RockYou2024」
が公開され、約100億ほどのパスワードがリストに含まれています。
同じパスワードを使い続けると…
もしあなたが、何年も同じパスワードを使い回していたら?
しかも、それを複数のサイトやサービスで使っていたら…?
すでにどこかのサービスで流出していたパスワードが、他のサイトでも使われていれば、
不正ログインのリスクは一気に高まります。
100%防ぐのは難しいとしても、こうした使い回しをやめるだけで、
リスクを減らすことができるのです。
リスクを減らすための工夫
1. パスワード以外でも守る
最近では、パスワードだけに頼らないログインのサービスが増えています。
- ワンタイムパスワード
- 多要素認証(MFA)
「面倒だから」とパスワードだけにしていませんか?
手間を少しかけるだけで、セキュリティは格段に上がります。
2. 不正ログインに気づけるようにする
万が一、パスワードが流出してしまったとしても、すぐに気づけることが大事です。すばやくサービス停止に動き、被害を減らしたり防ぐことができます。
そのため、ログイン通知を設定できるサービスも増えています。
- 毎回通知が来るタイプ
- 普段と違う端末からのログイン時のみ通知が来るタイプ
などがあるので、お使いのサービスで確認してみてください。
■ 通知を受け取ったら落ち着いて確認を
もし「身に覚えのないログイン通知」が来たら、焦らずに対応しましょう。
最近では、偽のログイン通知を装った詐欺も増えています。
通知にあるリンクをそのままクリックせず、
サービスの公式サイトやサポート窓口から連絡・確認するのも良い方法かと思います。
最後に
〇〇をしたから絶対に大丈夫、ということは残念ながら簡単にはありません。
だからといって運頼みや自分は大丈夫だろうと思わず、少しでもリスクを下げる、もしもの時にすぐに行動できるようにしておく、といった意識が大切です。
ちょっとした設定でリスクを下げることはできます。少しずつでもセキュリティを見直してみてはいかがでしょうか。
参考
Jasdev Dhaliwal「Password Leak in History | McAfee Blog 」2024/7/8https://www.mcafee.com/blogs/internet-security/rockyou2024-unpacking-the-largest-password-leak-in-history/
セキュリティ対策ラボ「RockYou2024(ロックユー2024)という約100億件のパスワード集がリークされる」2024/8/9https://rocket-boys.co.jp/security-measures-lab/what-rock-you-2024/
コメント