iAmMrRob /Pixabay
「宅ファイル便」のパスワードが流出した。パスワードを使い回していた人は、大変困っているだろう。メールアドレスとパスワードをセットにして、SNSなどでログインを試してけば、幾つかが乗っ取られてもおかしくない。お金を扱うサービスが攻撃対象になった場合は、被害が大きくなる。直接お金が盗まれる以外にも、広告報酬やアフィリエイト収入の振込先を書き換えられたり、様々なケースが考えられる。
パスワードが流出しなくても、登録していると知られること自体が致命的なケースもある。過去には、不倫を目的とした出会い系サイト「アシュレイ・マディソン」に登録している会員の情報が漏洩したこともある。家族にばれれば、家庭崩壊に至る可能性のある情報なわけだ。
パスワードを含む、個人情報の漏洩事件は、年に何度もニュースで目にする。それも、何百万件、何千万件、何億件と、数を競っているようだ。資金が潤沢なはずの大手IT企業であっても、
人的なミス、セキュリティホール、悪意のある犯罪者の侵入などにより情報を漏洩させている。
Webサービスにユーザー登録する際、ほぼ全ての場所で、メールアドレスとパスワードの入力を求められる。メールアドレスは、そのままユーザーIDになることも多い。パスワードは、アクセスしてきた人が、登録者自身かを確認するために必要なものだ。
こうした情報は、
サーバー上のデータベースに記録される。データベースは、大量の情報を高速に安全に扱うための仕組みだ。データベースで管理されている情報は、通常は外部から直接覗き見ることはできない。しかし、
サーバー上のソフトウェアにバグがあったりすると、外部から閲覧できてしまう。また、サーバーに侵入されれば情報を自由に盗まれることになる。
こうしたデータを守る側と、データを盗む側は、イタチごっこのところがある。バグがない完璧なソフトウェアが開発できればよいのだろうが、それはなかなか難しい。ソフトウェア自身のバグだけでなく、OS、プログラミング言語、開発に使ったシステムのバグやセキュリティホールが原因になることもある。
こうしたセキュリティ上の抜け穴は、日々発見されている。予想もつかなかった脆弱性が見つかったり、これまで知られていなかった攻撃方法が開発されたりしているのだ。これは、法律に様々な抜け穴があるのと同じだ。「これで大丈夫」と考えて制定した法律の穴を突く悪人たち。頭のよい人たちが一生懸命に考えた法律にも穴がある。
物事に完璧はない。だから、Webサービスを開発する側も「不測の事態で漏洩する」と思って開発する。そして、漏洩しても被害を最小限に食い止めるための仕掛けを考える。そうした意識は、インターネットの初期の頃からあったわけではない。様々な苦い経験を積み重ねることで、業界として「こうした対策は必須だ」という知見を積み上げていったのだ。
そうした積み上げを知らなかったり、そうした意識が芽生える前に開発されたWebサービスは、パスワードを、そのままデータベースに保存していることがある。こうした状態は
平文と呼ばれる。それでは次項から、「平文」「暗号化」「ハッシュ化」という、パスワード流出の際に出てくる用語について解説していこう。