パスワード漏洩事故の原因

世間ではシステムのパスワードが漏洩したというニュースが度々聞かれます。その原因は外部からの悪意のある侵入者である場合と、内部の人間によるものとがあります。あるシステムのユーザアカウント管理テーブルを見たときに驚きました。パスワードが平文(パスワードがかかっていない状態)で保存されているのです。もちろんユーザアカウント名も一緒に載っていますので、このテーブルのリストを出力すれば、大量のアカウント情報を手に入れることが可能です。

パスワードを忘れたときにヘルプデスクに問い合わせると思います。この時に何らかの本人認証の有無にかかわらず、最終的にパスワードが伝えられるようでしたら、セキュリティー観点での脆弱性があると考えてよいでしょう。そもそもパスワードは暗号化された状態でデータベースに保存されますし、復号(暗号化を解くこと)困難にすべきです。ですからヘルプデスクでパスワード忘れのユーザに対してパスワードを伝えることは本来出来てはいけないはずです。

このようなパスワードを平文で保存しているものは、古くから使い続けているシステムで見かけることが多いように思えます。システムのリプレースが後回しになり、脆弱性が残ったままとなっています。まずはセキュリティー対策が出来ているかどうか、そして対策が必要であれば早急に対応を検討すべきでしょう。