7payにおける第三者による不正利用問題は多くのメディアで取り上げられ、具体的な原因がどこにあったのか解明されていませんが、今回の問題は当機構でも過去に取り上げましたが、「セキュリティ・バイ・デザイン」の視点が考慮されていないシステムであり、企業として、金融システムを取扱う姿勢が厳しく問われるべき事象であったといえます。

（参照記事：PayPay事件に見る、セキュリティ・バイ・デザインの重要性）

7payにおける不正アクセス

７payにおける不正アクセスでは、ID情報等を基にシステムを悪用されたと予測されていますが、金融システムやECサイトでは、IDと共にパスワード設定の際、「パスワードは複雑で推察されにくいもの」と強く勧めています。

また、漏えい事故が起こる度に利用サービス事業者より「パスワードを使いまわしている場合は変更してください」と通知が届く方が多いのではないでしょうか。

しかし、これらのメッセージを真剣に受け止め、実行している方は多くはないでしょう。

理由は簡単です。
各サイトにおいて個別のパスワード設定や、設定変更を行うのが面倒くさいからです。

今後も多くの方が使いまわしを続けていく状況は変わることがないと考えます。

企業側で生体認証や2段階認証システムといった、セキュリティ対策が導入されることで漏えいリスクを軽減させることが可能ですが、パスワードシステムに頼ったシステムが多い現在の状況下では、「パスワードの使いまわし問題」による漏えい事故は今後も続くと思われます。

このような状況下の中、ユーザー側はパスワードに対する企業側の漏えい対策に限界があることを認知し、自身で模倣されない「覚えやすく・強固な」パスワードを考える必要があります。

しかし、覚えやすく・強固なパスワードと言われても、どのようなものか想像するのが難しいかもしれません。

パスワードの使い回しを防ぐために

そこで今回、当機構ではこのパスワード問題解決のため、ホワイトペーパー「日本人のためのパスワード2.0」をリリースいたしました。

セキュリティリサーチャー キタきつね氏による、パスワード設定や使いまわし問題に関する解決策の提案となっています。

簡単に紹介を行いますと、パスワード設定に関して、日本語の視点や文化的背景を取り入れることで、瞬く間に「覚えやすく・強固な」パスワードが生成することができます。

例えば、テストで覚えた語呂合わせ、何度も歌わされるうちに覚えた校歌のフレーズ、これらをベースにパスワードを考え、利用サービスごとのタグ情報を加えるなどして、使いまわさず、強力なパスワードが生成することができます。

本ホワイトペーパーは、ユーザーの方々にとって非常に有益なものとなっていますが、サービス提供側にも非常に意義のあるものです。

・パスワードは複雑なものを設定してください
・パスワードの使いまわしはやめてください

とユーザーに一方的に訴えるよりも、ホワイトペーパーに掲載されている事例を示しながら注意喚起を行うことで、セキュリティリスクを低減することが可能です。

パスワードは今後も登録システムとして非常に使いやすいツールとして残っていきます。

使いやすさの裏にはリスクがあることを意識し、強固なパスワードを設定し利用していくことが必要でしょう。

【ホワイトペーパー】
「日本人のためのパスワード 2.0」
※申込みフォームに入力を行うと、ダウンロード可能となります

【キタきつね氏　ブログ】
Fox on Security