Q&A
>銀行では、暗証番号を誕生日にして
必ず注意されますね。「(家族を含めた)誕生日以外で」
中には誕生日入れるとバリデーションではじかれる仕組みを入れてるところも過去に見ました。
Webサービスに安易なパスワードを設定している場合、
パスワードクラックなどでパスワードが割り出され不正アクセスされる可能性があります。
この場合、簡易なパスワードを設定しているユーザにも責任があると思うのですが、
Webサービス側にも責任は問われるのでしょうか?
例えば、Webサービス側で以下のような対策をしていれば防げたかもしれません。
- 安易なパスワード設定を許容しない
- 認証失敗回数によるアカウントロックをしている
- 二段階認証を取り入れている
回答3件
0
ベストアンサー
結論から言うと、サービスの性質により変わります。
一般的にパスワード認証は、認証の責任を利用者とサービスがわけあっていると考えられます。
パスワード認証というのは、「利用者しか知らない文字列」を使うことで認証しているわけですから、利用者には「他の人が知らないはずの文字列」をパスワードとして設定する責務があります。
一方、「別のパスワードでもログインできてしまった」とか、「安全なパスワードをつけたいのに4文字数字のパスワードしかつけられない」場合はサービス側の責任になります。そのような例は過去にありました。
当時、JALは数字6桁、ANAは数字4桁の「パスワード」の設定になっていたため、それでは不正ログインされるだろうとサービス側が批判されました。
一方、よく芸能人が安易なパスワードをつけていてプライベートな記事や画像を閲覧されてしまったという事件が報道されますが、サービス側(Instagram等)に責任を問う声はあまり聞かれません。
以下はパスワードを盗み見された事件ですが、これはどんなに複雑なパスワードをつけていても駄目ですね。
これは盗み見したやつが悪いことは間違いないですが、「盗み見されるような管理をする利用者にも問題がある」と思う人が多いと思います。
ここまでは、「伝統的なパスワード認証の考え方」です。
しかし、さまざまなサービス、とくにお金が絡むサービスを多くの人が使うようになってきて、「安易なパスワードをつける方が悪い」とは言いにくくなってきました。この線で私が注目するのは、SBI証券の事件です。
ネット証券最大手のSBI証券は16日、顧客6人の証券口座から9864万円が不正に流出したと発表した。第三者が口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に開設されていた本人名義の偽の口座に送金していたという。SBI証券は警察に被害を届け出ており、顧客の損害は全額補償する方針。
発表によると、何者かがパスワードを含む顧客情報を何らかの方法で入手。7~9月上旬に証券口座に不正アクセスし、口座内の有価証券を売却して、銀行口座へ送金していた。送金先は、ゆうちょ銀の5口座と三菱UFJ銀の1口座で、いずれも証券口座の顧客と同一名義だが、第三者が不正に開いたものだった。お金はすでに引き出されていた。口座開設時は、偽造した保険証などの本人確認書類が使われていたという。
顧客から7日、「身に覚えのない取引があった」と通報があり、発覚。証券口座の不正アクセスについて、SBI証券は社内システムに侵入された形跡はないとし、「リスト型アカウントハッキング」と呼ばれる手口だったとみている。
この手口は、別のサイトなどから過去に流出したIDやパスワードで様々なサイトへのログインを試みるもの。同じIDやパスワードを使っている人が被害に遭いやすい。SBI証券のIDは、利用者が自由に設定できたため、狙われた可能性がある。
他のサイトから流出したパスワードが使われていて、すなわち利用者は「パスワードの使い回し」をしていたと推測されています。伝統的なパスワード認証の考え方だとSBI証券に非はないのですが、それでも1億円近い被害を補償するとのことで、私は驚きました。
一方で、現在でも、芸能人等がパスワードを推測され不正ログインされても、「安易なパスワードをつけるのが悪い」となります。
すなわち、サービスの扱う情報や資産に応じて、「安易なパスワードに対する責任」の分担度合いが変わることになります。現在、まさに、その変化が起こっている最中であると私は思います。
投稿2021/05/29 09:37
総合スコア11701
0
例えば、銀行では、暗証番号を誕生日にして、誕生日が分かる物と一緒に紛失した場合などに免責という利用規約にしているところもあります。
例えば、Webサービス側で以下のような対策をしていれば防げたかもしれません。
プロであれば当然やっているべき対策をやっていないと、それはそれで責任を問われます。
投稿2021/05/29 09:21
総合スコア84555
免責条件を規約に記載しておくことで、責任を回避するという方法もあるのですね。
> プロであれば当然やっているべき対策をやっていないと、それはそれで責任を問われます。
サービスが側の対策は必須なのですね。
ご回答いただきありがとうございます。
> 免責条件を規約に記載しておくことで、責任を回避するという方法もあるのですね。
書いておけば無条件に免責されると言うことでも無いので、法律の専門家との相談が必要です。
あくまでも規約は問題が起きた時の保険程度に考えておきたいと思います。
0
Webサービス側にも責任は問われるのでしょうか?
「安易かどうか」というのは明確な基準がないので難しいところではありますが、
結局それが安易であろうと何であろうと、「不正アクセスを許している」という管理責任は発生すると思います。
個人情報漏洩が世間で騒がれますが、もちろん悪いのは漏洩させた人です。
が、「適切な情報管理や利用者や関係者への通知や教育が行き届いていたかどうか」という点も争点になります。
プログラムは書いたとおりにしか動かない以上、起きる問題のほとんどはヒューマンエラーによるものです(一部言語の潜在バグによるものもある)。
自転車にカギを掛けないのと理論的には同じと思います。
盗った人が悪い。でも「盗られるもの」として適切な対策をしてない所有者もその次に悪い。
泣き寝入りするしかないのはそういう経緯です。
盗難にあっても鍵さしっぱなしだったり鍵なくしてたら保証してくれないところもあります。
本件だと「適切なパスワードを設定していない利用者」よりも
「適切なパスワードを設定させていないサービス提供者」のほうが責任は重いでしょうね。
Webサービスにおいて、ユーザーとパスワードなんて世界中から狙われてるものですから。利用者を守るように設計されていて当然ですし、利用者も「それくらい対策できてるよね(もしくは利用者が注意しなくても意識しなくても安心して使える)」という前提で使います。
投稿2021/05/29 09:06
編集2021/05/29 09:07総合スコア80850
安易かどうかの基準はないとのこと、他の方の回答も見てよくわかりました。
> 「不正アクセスを許している」という管理責任は発生すると思います。
サービス側としては、責任の大小はあっても責任が全くないというわけではないのですね。
サービス側は安全なパスワードのみ設定させるようにするなどの対策が必須と理解しました。
ご回答いただきありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/05/30 03:04