スミスのガジェット物語

業務システムにログインするために必要なパスワードと、プライベートなパスワードを同じにする（流用する）のは絶対に止めるべきです。本来は、パスワードの使い回し自体が非常に高いリスクを生むのですが、業務用システムのパスワードが自分のせいで流出するようなことになったら大変だからです。実際、こんな事件がありました。ある企業で、入社したばかりの新人が、会社の人事システムにアクセスするパスワードを「業務でも使用するパスワードだからそらで覚えているし、任意の文字列を組み合わせた強固なパスワードなので他でも使おう」と考え、ECサイトなどにログインする複数のアカウントのパスワードにも設定したのです。その後、あるECサイトから会員情報が漏えいする事故があり、「パスワード変更など必要な措置をしてほしい」というメールが届いたのですが、面倒なので放置していたというのです。すると約半年後、自社の人事情報が盗まれるという事故が起きました。ログを分析した結果、この新人のIDから人事システムに侵入されたことが判明したのです。犯人は比較的脆弱な小規模の通販サイトを狙い撃ちして侵入し、この新人の個人情報を入手しました。そしてこのパスワードを利用して、別のサイトやネットバンキング、そして勤務先のネットワークにまで侵入してしまったという訳です。使い回されているパスワードを悪用して攻撃することを「リスト攻撃」といいます。この新人はそこまでの思慮が足りなかったということですね。