SNSにとって、セキュリティは最優先事項ではありません。大半のSNSは、銀行に期待する同じ警戒レベルでデータを保護することはありません。そもそもSNSでは、強力なパスワードを要求されていないのが実状です。Webメールやオンラインバンキングなど、重要度の高いサイトで同じパスワードを使いまわしている場合、SNSのアカウントが侵害されると、他のアカウントも同時に危険にさらされることになります。
2009年12月、SNS向けのアプリケーションを作成しているRockYouで情報漏えいが発生した後、3,200万件のパスワードがインターネットに公開されました。この情報漏えいにより、ソーシャルネットワーキングサイトの大半の利用者のパスワードの弱さが明らかになりました。
InformationWeek誌のレポートには、「Facebook、MySpace、Twitter、LinkedInといった主要サイトはすべて、パスワードの長さを6文字以上としています。パスワードの複雑さのチェックはほとんどなく、FacebookとLinkedInでは複雑さのチェックは行われていません。MySpaceでは、一応、複雑さのチェックは行われますが、ユーザーは『123456』をパスワードに入力できます。Twitterでは、ログインページのHTMLソースから閲覧できる既定の単語リストに基づいた、基本的な複雑さのチェックが行われますが、チェックはそれほど厳しくはありません。実際に、『password1』は使用できませんが、『1password』は使用可能です。
パスワードが暴露された3,200万人のうち、約1%である約29万ユーザーが「123456」を使っていました。また次に多いパスワードは「12345」で、約8万ユーザーでした。「princess」、「qwerty」、「abc123」も一般的に使われていました。
別の事例では、フィッシング詐欺師がオンラインフォーラムに数千件のHotmailのアドレスと関連するパスワードを投稿したケースもあります。これらのパスワードも同様に、簡単な数字もしくはアルファベットの組み合わせが主流を占めており、暴露されたパスワードの60%がすべて数字か小文字でした。最も頻繁に使われていたパスワードの中には、「111111」、「123456」、「1234567」、「12345678」、「123456789」が含まれていました。また、フィッシング詐欺の被害者の多くが、子供や配偶者などの名前をパスワードに使用していることも明らかになりました。
当然のことながら、単純なパスワードを使用すると、ハッキングされる可能性はずっと高まります。SNSのアカウントだけではなく、全てのオンラインアカウントで、強力かつ安全なパスワードを使用することが非常に重要です。また、アカウントごとに異なるパスワードを使用することも必要です。Webメール、オンラインバンキングなど、重要性の高いアカウントと同じパスワードをSNSに使用することは、なりすまし犯罪を招くことに繋がるといえるでしょう。
サイバー犯罪から個人情報を保護するためには、基本的なセキュリティの注意事項を順守すると同時に、安全で強固なパスワードを保有し、状況に応じた使用と管理が必要です。
関連記事
- [2011/08/17] パスワードを強化する7つのヒント
- [2011/04/28] 複合的な手法によるパスワードリセット詐欺
- [2011/03/25] ソーシャルメディアをターゲット化する、サイバー犯罪
- [2011/03/17] パスワード盗難に遭わないために
- [2010/10/29] ビジネスとしてのパスワード窃盗
- [2010/05/11] 安全なパスワードの作り方
- [2010/04/12] Facebookパスワードリセット詐欺についての追加情報
- [2010/03/25] Facebookのパスワードリセット詐欺が世界中に蔓延
- [2010/08/23] 拡大しつつある、SNSオンライン詐欺
※本ページの内容はMcAfee Blogの抄訳です。
原文:Using Social Media Passwords With Critical Accounts
