セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

あなたと社長、どちらの方がパスワードに強いですか?

ハッキング被害に役職は関係ありません。F-Secureの新たな調査、「CEO Email Exposure: Passwords and Pwnage」ではCEOの10人に3人のパスワードが「pwn」されていることがわかりました。[1]
ところで、「pwn」の意味はご存知ですか?

pwn(動詞):デバイス、サーバー、またはアプリケーションを侵害、制御、不正アクセスするために、対象物を支配(所有)すること

先の調査の中では、会社のCEO用Eメールがハックされたこと、そのパスワードが漏れたこと、もしかすると標的型攻撃のための感染経路を作られたかもしれないことも意味しています。

さて、どこかから漏洩したパスワードのデータベースを、ハッカーがダークウェブで入手したとします。
次にこのハッカーが行うことは、データベースで標的のEメールアドレスを検索することです。もしパスワードが見つかれば、標的が利用しているかもしれない別のサービスでそのパスワードを試すのです。もし標的がパスワードを複数のサービスで使い回していれば、ハッカーは重要なアカウントを乗っ取ることができるでしょう。そして機密情報を盗んだり個人や従業員全体を攻撃したりといった活動を繰り広げます。

基本的には、CEOであれ誰であれ、「pwn」されたら同じようなひどい目に遭います。しかし企業のリーダーであるCEOともなると、その影響は何千もの従業員や株主に及ぶかもしれません。

「サイバー衛生」が良好でない企業は社内ネットワークもまた脅威です。ベライゾン社から公開された「2016年データ侵害調査報告書」は、63%のデータ侵害は、パスワードが弱い、デフォルトのまま、あるいは盗まれたことに関係していることを明らかにしています。[2]

CEOが標的として高い価値を持つ存在であることは言うまでもありません。ですがあなたの役職や職位がなんであれ、あなたの個人データや個人の「ブランド」はリスク下にあると考えるべきです。Yahoo!、LinkedIn、Tumblrといった何億人というユーザーを抱えるサービスは、なんらかの形で大規模なデータ侵害の被害に遭っています。
そして肝に銘ずるべきは、あなた自身は基本的なサイバーセキュリティを全て押さえていたとしても、そうしたサービスがあなたのデータをどう守るかについてのコントロールはできないということです。

「pwn」されたかどうかをどのように調べればよいでしょうか?「Have I been pwned?」のような公共サービスを使いますか?[3]
それもいいですが、もう少し簡単な方法があります。次の3つの質問に答えてみてください。

●重要なアカウントでパスワードを使い回していますか?
●それぞれのアカウントに最低14文字の強固なパスワードを設定していますか?
●2要素認証が利用できるならば有効にしていますか?

最初の質問への回答が「いいえ」で、他の回答が「はい!」であれば、まずは安心してよいでしょう。

F-Secureのセキュリティコンサルタント、Tom Van de Wieleは次のように話します。

パスワード管理ソフトを使いましょう。なるべくなら、あなた以外の誰もマスターパスワードを知らない状況にすべきです。ここでの「誰も」とはあなたの会社も含みます。– Tom Van de Wiele, F-Secure

業務上のパスワードを保護することは、人生の危機の次くらいに重要です。
手遅れになる前に、そのことをあなたのCEOに教えましょう。その時には、私たちの報告書も一緒にお伝えください。

脚注

[1][Report] 1 in 3 CEOs Have Had Passwords Leaked in Breaches | F-Secure
[2]2016 Data Breach Investigations Report | Verison (PDF)
[3]「Have I been pwned?」については、以前の記事もご参照ください。

オリジナル記事情報

    Are you better at passwords than your CEO?
    掲載日:2017年10月24日
    執筆者:Sandra
本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。

当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

おしらせ

当社は千葉 幕張メッセにて開催される「第8回 情報セキュリティEXPO 秋」に出展いたします。
詳細はこちらの記事をご覧ください。

記事一覧に戻る