パスワードの定期的な変更を勧める企業にその根拠を聞いてみた

公開日:

先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。

その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。

メール内容の引用は全文ではありません。文頭の挨拶文など、本筋に関係ない部分は省略しています。

当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。

まず最初に、会員向けに届いたメール(の一部)がこれです。

本メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。

※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。

今後、より安全に弊社サービスをご利用いただくために、他社様のサービスでお使いのパスワードとは、異なるものをご設定ください。

これに対し、私は以下の質問をしました。

>弊社からID・パスワードが漏洩したという事実は検知しておりません。

ということであれば、実際になりすましログインが行われてしまった方以外は

>他社様のサービスでお使いのパスワードとは、異なるものをご設定ください。

の対策を行っていれば充分と思いますが、

>定期的なパスワードの変更をお勧めいたします。

と推奨している意味が分かりません。

定期的にパスワードを変更することにより、ユーザーにどんなメリットがあるのか教えてください。

また、定期的とは具体的にどの程度の期間なのか明記してください。"定期的" だけではそれが1日毎なのか1年毎なのかまったく分かりません。

その回答がこれ。

[1]定期的にパスワードを変更することにより、ユーザーにどんなメリットがあるのか。

今回、弊社サービスにて発生したなりすまし不正ログインにつきましては、第三者が外部から取得したID・パスワードを使用したものと推定しております。

そのため弊社では、

・他社様のサービスでお使いのパスワードとは、異なるものをご設定いただくこと

・上記が難しい場合、定期的にパスワードをご変更いただくこと

により、なりすまし不正ログインを予防できると考えており、皆様にお知らせさせていただきました。

[2]定期的とは具体的にどの程度の期間なのか明記してください。"定期的" だけではそれが1日毎なのか1年毎なのかまったく分かりません。

ID、パスワードの管理はお客様ご自身で行っていただいており、変更していただく頻度につきましては、絶対的なものはございません。

不明瞭な表現となり恐れ入りますが、お客様のご判断にて、可能な限り高頻度で変更していただけましたら、有効な対策になるものと考えております。

さらに突っ込んでみました。

>・他社様のサービスでお使いのパスワードとは、異なるものをご設定いただくこと

>・上記が難しい場合、定期的にパスワードをご変更いただくこと

最初に受け取ったお知らせには「上記が難しい場合」という条件は書かれていませんでした。

この条件があるのとないのでは、ユーザーが取るべき対策の内容に大きな差異が生じます。

今回返信いただいた内容のほうが正しいのであれば、御社の案内を要約すると

「他サービスとは異なるパスワードを設定している場合は、定期的にパスワードを変更する意味はない」

「そうできない場合に限り、定期的な変更を推奨する」

ということになりますでしょうか?

もしそうであれば、メールで個別に返信を頂いた私以外のユーザーは勘違いしたままと思わるので、改めて訂正告知を行っていただきたく思います。

>変更していただく頻度につきましては、絶対的なものはございません。

仰せのとおり絶対的な指標はないと思います。

ユーザーによって設定しているパスワードの強度や、サービスに対して求めるセキュリティの質は異なるので、誰に対してもこの期間でと言い切ることはできません。

しかし、サービス提供側が「定期的な変更」を推奨するのであればある程度の基準は示すべきではないでしょうか。

単に「定期的」と言われても、セキュリティの専門家でもない限り1日なのか1年か、あるいは1時間か10年かといった大凡の感覚すら分からないと思います。

「お客様のご判断にて」とのことですが、その頻度に関して正しい判断ができる人が果たしてどれだけいるのでしょう。

(〓〓様、あるいは御社の従業員にその判断ができる方はいらっしゃいますか? もしできるのならぜひ教えてください。できないのであれば、自分自身が分からないことをユーザーに求めるのは筋違いです。)

「有効な対策になるものと考えております」というのは、あくまでユーザーが正しい判断ができる場合においてのみ成り立つ仮定と考えますが、いかがでしょうか。

回答がきました。最初の回答は一部表現が間違っていたようです。

今回、弊社よりお知らせしたなりすまし不正ログインにつきまして、他社様で利用している、いないに関わらず、パスワードを変更することで、今後の不正ログインの予防となります。

そのため、ID保有者の皆さまに、今後も安心してご利用いただくための方法として、パスワード変更のご案内のメールをお送りしております。

〓〓では、ID、パスワードの管理はID保有者に行っていただくものと考え、規約にも記載しております。

そのため、「定期的な変更」についても、特にシステム的な制約や推奨期間は設けておらず、それぞれのご判断により行っていただくほかございません。

表現の間違いについては単純な記述ミスと判断してそれ以上は突っ込まず、もっとも重要な点のみ再質問。

>他社様で利用している、いないに関わらず、パスワードを変更することで、今後の不正ログインの予防となります。

「予防となります」と断言できる根拠は何でしょうか?

回答が来ました。

第三者が何らかの方法で不正に入手したID、パスワードのリストをもとになりすましログインを試行する場合、パスワードを変更して頂くことでこれを予防できると考えております。

ひとつひとつ再質問してゆくやり方ではいつまで経っても終わりそうにないので、自分の考えをすべてぶち撒けてみました。

恐れ入りますが、回答は具体的にお願いできますでしょうか。

この回答では「なぜ」予防できると言えるのかが分かりません。

例えばとあるユーザーが毎月1日(すなわち1か月ごと)にパスワードを変更していると仮定します。

10月7日に悪意ある第三者に不正アクセスが試行され、成功したとします。

この場合、10月7日~31日の間は不正ログインされ放題です。

これは「予防できる」とは言わないと思います。

逆に定期的な変更で予防できるケースを考えてみます。

条件は先と同じとします。

10月7日に不正アクセスがなされたものの、個人情報取得などの実害ある行為は行われず、悪意ある第三者は11月になってからそれを行おうと企んでいた。

しかし、11月1日にパスワードが変更されたため、それ以降不正アクセスは不可能になり、実害はなかった。

このように犯行が特定の個人を対象としたものではなく、広く何千何万人をターゲットとしており、「不正ログインの試行」と、実際にログインが成功した中から本来の目的である「個人情報の不正取得等」が別のタイミングで行われる場合、その間にパスワードが変更されれば功を奏すこともあるでしょう。

しかし、このように犯人が「待っていてくれる」ケースは多くないでしょうし、なにより運次第という不安定な面があります。

それに不正アクセスの可能性を低くしたければできるだけ短い期間でパスワードを変更しなければなりません。

昨今ではネットバンクやSNS等、数多くのパスワードを必要とするウェブサービスが利用されていますが、(不正アクセスされてもいいような重要度の低いサービスを除いたとしても)それらを定期的に変更するという作業はとてつもない労力がかかります。

貴社的には自社が運営する1つのサービスに対して定期的変更を案内していればよいでしょうが、本当にそれが有用なことであるならユーザーは自分が利用するすべてのサービスで定期的に変更すべきだからです。

これは果たして現実的でしょうか。

多大な労力がかかる割に、必ずしも防止できるとは限りません。

また、実際どの程度の期間で変更すればいいのかも分かりません。

(私のように直接サービス運営者に問い合わせても回答を頂けないのですから、これはもうまともに運用できる人間はセキュリティ専門家以外には存在しないのではないでしょうか。)

そのような方法に頼るくらいなら、

・充分な長さ、複雑性を備えたパスワードにする

・他サービスとの使い回しをしない

・2段階認証など、より安全性の高い方法が用意されていたら積極的に利用する

・流出事故が確認された時点で即座にパスワードを変更する

といった対策を行うべきであると考えています。

まとめると、本件に関する問題点は以下の点にあると考えています。

・パスワードを定期的に変更することで防げる事案が皆無とは言えない

・しかし定期的に変更することですべてのケースを予防できるわけではない(むしろ少ないのでは)

・今回貴社が行ったような案内では「とりあえず定期的に変更しておけば安全」という誤った認識が広まるおそれがある

それに対する回答です。

お客様の仰せの通り、定期的なパスワードの変更により、すべてのケースを予防できるわけではございません。

ご自身のご認識のもとでパスワードを管理していただければ幸いです。

何度も問合せのお手数をおかけし恐縮ではございますが、同様のお問合せを頂いても回答できない場合がございます。

なにとぞご了承ください。

この後も1往復ちょっとしたやりとりを行いましたが、本題と外れたものなので省略します。

肝心の「パスワードの定期的な変更に意味があるのか」「どの程度の頻度で変えればよいか」については、結局最後まで納得できる回答はいただけませんでしたが、レスポンスは非常に早く、こちらのぶっきらぼうな質問に対しても丁寧な回答を頂けたことは補足しておきます。