Photo By Shutterstock
個人情報漏洩のたびに「パスワードの使い回し」が問題視されているが、なぜか「IDの使い回し」については、それほど触れられることはない。
それどころか、自分がIDを使い回ししていることに気づいてすらいない人も多い。
主要SNSサービスや大手ネットショップの多くが、メールアドレスを当たり前のようにIDとして利用し、事実上使い回し状態になってしまっていることの弊害ではないだろうか。
なぜ、メールアドレスをIDとして利用することが当たり前になってしまったのだろうか。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
なぜ、メールアドレスをIDとして利用するのか
サイバーセキュリティに関するニュースサイト「ScanNetSecurity」では毎月の情報流出・漏洩に関するニュースをまとめているが、例えば今年3月だけでもかなりの数のインシデントが発生してしまっていることがわかる。
ユーザーの立場で考えると、利用するサービスやショップごとに、新たにIDとパスワードの両方を考えるのは面倒だし、それらを利用するたびに入力するとなると数が多すぎて、とても記憶しておくことはできない。
その点、メールアドレスなら日常的に利用しているので忘れることはないし、名刺に入れることも当たり前になっているので、人に知られても抵抗感は少ない。ビジネス用以外に、プライベート用メールアドレスとして実名を類推しにくい文字列を使っている場合には尚更だろう。
また事業者サイドからみると、IDを新たに発行するには、IDを利用者ごとに生成したり、重複を避けるための仕組みなどが必要になるし、ユーザーがIDを忘れて問い合わせをしてくる頻度が高くなることも予想できる。つまり、メールアドレス利用には手間を省けるメリットがあるのだ。
また、メールアドレスの性質上、誰かと重複することないユニークな文字列なのでIDとして使いやすく、同一ユーザーが、以前に登録したことを忘れて重複登録することを避けることもできる。
メールアドレスをIDに利用することのデメリット
このようにIDへの利用に適している点の多いメールアドレスだが、それらメリットが霞んでしまうほどのデメリットがあることを忘れてはならない。
それは、IDとパスワードを組み合わせた認証方法の強度を、著しく下げてしまうという点だ。
IDにメールアドレスという公開情報を利用した場合、悪意ある攻撃者がその認証を突破しようとした時に、解読する必要があるのはパスワードのみということになる。IDとパスワードの両方が秘匿されている場合と比べると、その作業負荷は大幅に軽減される。
そのパスワードすら、複数作成するのは面倒だと使い回していた場合には、フィッシング詐欺やネットショップなどからの情報漏洩などを発端として、利用するすべてのサービスを不正利用されてしまう恐れがある。
家族の誕生日や電話番号、住所、社員番号、ペットの名前、結婚記念日など、第三者でもSNSなどで取得可能な情報をパスワードに利用していた場合には、さらに解読は容易となり、漏洩情報をダークウェブなどで購入する必要もなくなる。
IDとパスワードの両方に、秘匿されたユニークな文字列を使う場合と比べて、IDにメールアドレスを使うことの危険性がいかに高いかが分かるだろう。
メールアドレスに様々な個人情報がヒモ付けられる恐れ
ここ半年ほどの間に起こった個人情報漏洩の事例をいくつか並べてみただけでも、その深刻さが分かる。
不正アクセスによってトヨタ自動車のグループ5社から最大310万件の顧客情報が流出した恐れ(3月29日発表)。
新庁舎への引っ越し作業に伴い、個人情報約1万8000件記録のハードディスクを紛失したと沖縄県豊見城市が発表(3月27日)。
イベント興業会社キョードー東京のチケット通販サイト「キョードー東京チケットオンライン」から、最大1600ユーザーの個人情報が流出した恐れ(3月16日発生)。
大容量ファイル送信サービス「宅ファイル便」の一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと運営会社のオージス総研が発表(1月26日)。
サイト管理の不備で、社外協力者約800人の個人情報が流出した可能性があるとユニクロが発表(1月30日)
NASA(米航空宇宙局)のサーバが不正アクセスされ、職員の個人情報が流出した可能性(2018年12月18日発覚)
香港の航空会社Cathay Pacificが不正アクセスを受け、乗客約940万人分の個人情報が漏洩した恐れ(2018年10月24日発表)
まず気がつくのは、高度なセキュリティ対策をしているはずの有名企業や政府機関からも個人情報が漏洩しているという事実。まさか、あの会社が……と、信頼を裏切られてショックを受けた人もいることだろう。
最近で最も深刻なのは、「宅ファイル便」の事例ではパスワードも漏洩しているということだ。
複数のサービスを利用していて、同じID(メールアドレス)とパスワードを使い回して登録していた場合、該当するすべてのサービスを不正利用される危険性が高い。
また、これだけ多くの漏洩が続けて発生すると、IDに用いられたメールアドレスに、流出した複数の個人情報をヒモ付けることで、フィッシング詐欺や「通販サイトでこんなものを買っていただろう」と脅されるなど、さらなる犯罪に巻き込まれる恐れも出てきた。
このように、個人情報の漏洩被害が頻繁に発生している状況を考えると、そろそろIDにメールアドレスを使用することをやめるべき時期が来たのではないだろうか。