パスワードマネージャの専用デバイスであるクレイジースモール パスワードロム240のクラウドファンディングが多くの支持を受けて終了したが、その間にも世の中ではパスワード絡みの大きな事件が起こっていた。
7payの不祥事である。今回はこの問題について考えてみようと思う。
不正利用問題が発生してから2週間ほど経った今、様々な批判が記事となっている。それらの記事やテレビ等のメディアで大きく取り上げられているのは、パスワード再設定の仕様自体に問題があったというもの。主に2つの点が悪いとされている。一つは、任意のメールアドレスへ通知が出来てしまうという欠陥。もう一つはSMSによる2段階認証が無い欠陥。
筆者も同意する部分は多いが、特にテレビにおいては、いささか2段階認証ならば安全が保障されていたかのように取り上げられられていて、少し違和感があった。最近になってネットではようやく2段階認証の危うさも指摘する識者も出てきていて、一時のバッシングが過熱していた状況よりは改善されてきたと思う。SMSによる2段階認証はその方法自体が詐欺の恰好のターゲットになる可能性もあるのだ。7payの不祥事によって、2段階認証イコール安全というフレームがマスコミによって一般的に広まってしまったのは功罪相半ばする。安全ならば、パスワードは忘れてもそのたびに再設定すればいいのだから覚えなくていいやと思う人だって出てくる。
そもそもなぜ素人でも分かりそうな欠陥仕様となっていたのか。原因としては、安全よりも利便性をとったからだというのが大方の見方だ。おそらくその通りなのだろうと思う。
ところで、筆者はパスワードロム240の開発にあたり、利便性よりも安全性を重視した。その結果、アプリとは連携しない、バックアップ機能は実装しないという仕様にした。一方で利便性としては、キーボード出力できることに重点を置き、パスワードは伏字表示のまま運用できることを重要視した。あらためてこのコンセプトは間違っていなかったと思っている。
セブン&アイ・ホールディングスの発表では現時点ではセキュリティ強化の総点検としてオープン ID(Facebook 、Twitter 、Google、Yahoo!JAPAN、LINE)によるログインを一時停止したという。また、初期時点ではIDやパスワードの使いまわしについて注意を喚起する発表がされていた。
一般的なセキュリティ強化の話として、多くの識者やメディアからのアドバイスでは、IDやパスワードの使い回しはやめるべきというものだった。ただ、その議論の一方で、パスワードの使い回しに対しての具体的解決方法を示す識者はほとんどいない。使いまわすなと言うだけなら簡単。しかし、実際に出来ていないのが問題なのだ。専門家が解決案を示せないのは、使い回しを防止する具体的方法が確立されていないからなのだと思う。もし確立していれば学校の教科書にも方法が載っていただろうし、それが無いのだから現時点では手探りの状況だと言える。やめるべきと言いながらやめる方法を示せないというのは残念なことだ。
ぜひ、パスワード管理の専用デバイスを使っていただきたいと思う。
7payがパスワード再設定で利便性を重視したのは、一つにはパスワードを忘れる人が多いという事実もあるだろう。その根本的問題を解決していかないことには第二、第三の7pay問題が今後発生するに違いない。おそらく2段階認証関連の詐欺も増えていくだろう。もしも、利用者がパスワードを個人で管理できていて、パスワード忘れの恐れが無いなら、再設定自体をオプションにすることがシステム設計上可能となる。再設定はパスワード管理の専用デバイスを使っている人にとっては不要だからだ。再設定を無効にすることができるならセキュリティリスクは下がることになる。
この設計をシステム側で実装したなら、パスワード管理は専用デバイスで個人管理できるという流れが出来ていくだろうし、それはシステム供給側、利用者側双方に良いことだと思う。現状の、アカウントはクラウドサービスで管理という世の中の流れに危うさを感じている人にも選択肢を与えられる方法だ。
批判だけで終わらせるよりも何かの具体案を出すことは大事だと思う。クラウドファンディングでは多くの支持を受けることが出来た。実際に筆者と同意見の人も大勢いるという証拠だと思う。この場で一つの解決案は示した。あとは本気でID,パスワードについて考える人が増えるかどうかだろう。
少なくともセキュリティ関連の専門家の人やIT教育の先生方は、パスワード使い回し問題の解決案を持っていてほしいと思う。
cooyou.org
クレイジースモール パスワードロム240
https://cooyou.org/pwrom240