SNSで公開している誕生日などの情報を使ったパスワード設定は推測されやすくNG

2016年11月30日、女性芸能人の携帯電話会社の契約者向けサイトやクラウドサービスに不正にログインをしたとして、男性が逮捕されたという報道がありました。報道によれば、男性は女性芸能人の誕生日やニックネームなど、ブログやSNSに公開されている情報からパスワードを推測したとされています。

IPAが12月20日に公開した「2016年度 情報セキュリティの脅威に対する意識調査(脚注1)」では、“誕生日など推測されやすいパスワードを避けて設定している”のは年々減少傾向で、全体の47.0％でした。この結果から、実に半数以上がパスワードに誕生日などの推測されやすい情報を利用していることになります。

利用しているサービスへの不正アクセス被害を防ぐために、次に挙げるような観点で対策を実施してください。

1. (脚注1)
   2016年度情報セキュリティの脅威に対する意識調査」(PDF:8.4 MB)

   • P.64「4-4-1.パスワードの設定方法1」

（1）ブログやSNSに書き込んだ内容からパスワードが推測される場合も

ブログやSNSを利用している場合には、公開しているプロフィール情報により、誕生日などは不特定多数に知られているものと考えるべきで、公開情報を用いたパスワードの設定は適切とはいえません。

仮にプロフィール情報を公開していない場合でも、たとえば誕生日などはアカウント（ユーザーID）に使用している数字や誕生会の様子に関する投稿などから、推測される可能性があり、意図しない悪用の可能性も考えられます。

また、パスワードだけでなく「秘密の質問」の設定にも同様のことが言えます。「秘密の質問」に対する答えもブログやSNSに公開している情報（ペットの名前や出身校など）を用いないことが賢明です。(脚注2)

(脚注2) 2015年7月の呼びかけ 「その秘密の質問の答えは第三者に推測されてしまうかもしれません 」

（2）万が一の不正アクセス被害に備えた対策を

冒頭の事案では、女性芸能人が身に覚えのないパスワード変更の通知を受け取ったことで不審を覚えたとされています。

サービスによっては、パスワード変更やログインしたことをメールなどで利用者に知らせるアラート通知の機能があります。このほか万が一パスワードが判明してしまっても不正なログインを回避できる、二段階認証(脚注3)といったセキュリティ機能も用意されている場合があります。

IPAは第三者による不正利用を回避するために、適切なパスワードの設定、管理(脚注4)に加え、これらのセキュリティ機能が提供されている場合には、積極的に導入することを推奨します。

(脚注3)パスワード以外にもログイン時に入力が求められる、2つの情報を用いた認証方法のこと。
(脚注4)安心相談窓口だより:不正ログイン被害の原因となるパスワードの使い回しはNG