トレンド情報

個人のスマホを無くしても、情報漏洩?気をつけるべきパスワード管理

ちょうど一年前に公開された北川景子さん主演の映画「スマホを落としただけなのに」は興行収入19.6億円という大ヒットを記録しました。そして、来年2020年2月には、続編が公開されます。スマホは、皆さんの情報が詰まったデバイスであり、分身とも言えるかもしれません。そんなスマホの紛失に影響する、ブラウザのパスワード管理機能とそのリスクについてまとめました。
※本記事は、2018年5月24日に公開された記事を一部再編集しております。

ブラウザでのパスワード管理方法は2つ

みなさん、パスワードはどのように管理していますか。証券やオンライン・バンキング、ネット・ショッピングと、インターネットを使っているとあらゆる場面でパスワードを入力することがあると思います。頻度も多く、パスワードのすべてを記憶しておくのは現実的には不可能です。

紙に書いておくという古典的な方法では紙を紛失するリスクや、誰かに見られてしまうリスクがあります。

そこで活用を検討したいのが、クラウドを利用したパスワード管理です。
GoogleアカウントやFirefoxアカウント、Apple IDなどのクラウドサービスを利用してパスワード管理することは、サービス提供側にセキュリティ対策を任せられる上に、複数端末を利用している際の利便性も向上するため、オススメです。

ブラウザのパスワード管理機能としては、PCやスマホなどの端末内に保存する方法クラウドービスに保存する方法の2種類があります。
端末内に保存する方式は、端末が盗まれたり、離席中に操作されたり、マルウェアに感染したりすることで簡単にパスワードが保存されたファイルを抜き取られる可能性があります。暗号化されていても、簡単に解読されるため、自衛策に自信がなければオススメできません。

一方で、クラウドに保存する方法は、紙や特定の端末でパスワードを管理する場合と異なり、物理的に漏えいや別端末へ入力時にタイピングで漏れる心配がありません。

もし、銀行の口座番号なども預けて大丈夫だろうかと不安になる方は、パスワード管理専用のクラウドサービスも存在するので、使い分ける方法を推奨します。

クラウドを利用する際の2つの注意事項

クラウドサービスを利用してパスワードを管理するときに注意すべきポイントが2つあります。それは「利用するアカウントを第三者に利用させない」「個人用と仕事用でアカウントを分ける」の2点です。

「利用するアカウントを第三者に利用させない」は当たり前のように思いますが、パスワードを使い回していたり、PCやスマホなどでログインしたままの設定にしていたり、その端末でパスワードリセット用のURLを受け取る様にしていると、簡単にパスワードを盗まれたり、変更されたりして第三者に利用される恐れがあります。

アカウントを乗っ取られるとクラウド上に保存してあるパスワードは全て漏えいしたのと同じです。
色んな端末から利用するというのは、それだけ第三者との接点も増えることになるため、自分の端末を誰かが触れる可能性があるような場所では、放置したりしないように注意が必要です。くれぐれも飲食店などで場所取り用にスマホを置いて、席を離れたりしないようにしましょう。

Googleの場合、アカウントを安全に利用するための「セキュリティ診断」というサービスを提供していますので、そういったセキュリティのチェック機能を活用して、自分の使い方を振り返るのも効果的かと思います。

個人アカウントも仕事で使えばシャドウIT

「個人用と仕事用でアカウントを分ける」というのは、意外と気にされていない方は多いのではないでしょうか。

シャドウITと意識されないブックマーク機能、潜むリスクと対応方法 企業などの組織活動において、会社が用意したITシステム、機器とは異なる、私物の端末やデバイス、サービスを業務に利用することを「シ...

会社としてGoogleのサービスを利用している場合は、個人用と仕事用でアカウントが明示的に分かれているかも知れません。しかし、そうでない場合は、注意が必要です。

というのも、個人用アカウントを仕事用に使うことも「シャドウIT」と言えます。パスワードという情報を扱うため、私物のスマホを紛失したときに所属組織に報告しないと、後々重大なセキュリティ事故として処分の対象へと繋がる可能性もあります。

特にスマホを一時的に紛失し、施設内や交番などへ届けられていてすぐに見つかった場合は、届けられた時間と発見された場所を確認した方がいいでしょう。僅かな時間でもロックを解除するパスワードやパターンを見られていて、中身を見られたり、データを抜き取られていたりする可能性があるためです。

また、組織のネットワークに接続しないと利用できない社内サービスだから漏えいしても影響はないと思うかも知れません。しかし、パスワード管理機能は利用するサイトのURLも記録しているため、会社名を特定され、ソーシャルエンジニアリング攻撃や標的型攻撃に利用される可能性があります。

個人用と仕事用でアカウントを分けることは、些細なことですが非常に重要といえます。私達は、複数の端末を利用するのが当たり前になり、クラウドサービスによってブラウザの使い方も端末単位ではなく、アカウント単位へと利用方法が変わってきています。

パスワード管理機能もアカウント単位で利用できる非常に便利なサービスですが、少しの油断がセキュリティ事故へと繋がります。今一度、ご自身のパスワード管理を振り返ってみてください。

この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。