イラストSNS「pixiv」が脆弱なパスワードを登録できなくしたニュースを読み解く

エンジニアリング
この記事は約8分で読めます。

どうも、タニガワさんこと谷川 岳です。
まいど!^^

今日の休憩中にニュースを見ていたらちょっと気になるニュースを発見しました。

いちおうITエンジニアのタニガワさん、普段Twitter以外では技術の話はあんまりしないんですが、このニュースはちょっと気になったのでタニガワさんの実体験もまじえ、このブログにて読み解いてみたいと思います。

作ってはいたけど肝心の記事が一個もなかった[技術情報]-[エンジニアリング]のカテゴリ、とうとう封印解除ですw

どんな記事でどんな内容?

以下のニュース記事によると、イラストSNSの「pixiv」で仕様変更があり、ログインパスワードの設定に「脆弱なパスワード」の登録をできなくしたとのことです。

ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合
イラストSNS「pixiv」で、脆弱なパスワードが設定できない仕組みに。過去に他社サイトで漏えいしたパスワードのリストを活用している。

過去に他社サイトで漏えいしたパスワードのリストを活用。簡単なパスワードや、複数のサイトで使い回しされているパスワードを排除し、パスワードリスト型攻撃の被害を抑えるという。

セキュリティ研究者のトロイ・ハント氏が立ち上げた、漏えいしたID/パスワードを確認できる非営利のサービス「Have I Been Pwned」を活用した。

https://www.itmedia.co.jp/news/articles/2001/28/news093.html

複数のサイトやサービスで同じパスワードを使いまわしていると、もしそのパスワードを盗まれた場合に他のサービスにもログインされうるというリスクがあります。

具体的にどのような脅威があるか、JPCERT/CCがわかりやすく解説してくれているページが有りましたので紹介します。

STOP! パスワード使い回し!キャンペーン2019

Pixivがとった対応は?

実はこの件、ITmediaさんが今日(2020年1月28日)にニュースにする前に、およそ1週間前の22日にpixivさんの技術ブログで説明のエントリを書いていました。

Pixivさんのエントリ記事

pixivではサイバー攻撃への対策を複数とっていますが、根本的な対策のひとつとして、脆弱なパスワードを新しく設定できないようにしました。

(中略)

今回は先進的な取り組みとして、過去に他のサービスで漏洩済みとして公開されている、ハッシュ化された漏洩パスワードのリストを使用しました。

(中略)

ハッシュ化された漏洩パスワードのリストは「Have I Been Pwned」(以下HIBP)というサービスによりセキュリティの向上のために非営利で提供されています。

https://inside.pixiv.blog/2020/01/22/180000

具体的には「Have I Been Pwned」のサイトに蓄積されているデータを利用して、侵害されたとわかったパスワードについては登録を拒否するようなロジックをサイトに実装したようです。

そして「Have I Been Pwned」のサイトはこちら。
パスワード管理ソフトの1Passwordが連携してるっぽいですねぇ。

Have I Been Pwned: Pwned Passwords
Have I Been Pwned allows you to search across multiple data breaches to see if your email address has been compromised.

「pwned」とは?

一種のネットスラングのようで、「打ち破られた」などの意味を持つようです。

詳しく説明しているサイトが有りましたので紹介します。

パスワード漏洩をチェック「Have I Been Pwned?」の使い方
個人情報やパスワード漏洩を確認することができるセキュリティ情報サイト「Have I Been Pwned? (HIBP)」をご紹介します。英語のサイトですが、メールアドレスを入力するだけなので、誰でも簡単に情報漏洩の有無を調べることができます。

ちなみに、Have I Been Pwned? の「Pwned」は「owned」から転じたネットスラングで、「打ち負かす、やられる」といった意味があります。

https://wind-mill.co.jp/hibp-password-breach-pwned/

この施策に対するユーザーの反応

Twitterの検索機能で「Pixiv パスワード」で検索すると、この話題に触れている方が多数いらっしゃいました。

https://twitter.com/search?q=Pixiv%E3%80%80%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89&src=recent_search_click&f=live

ただ、

  • IDやパスワード忘れて入れない!
  • なんかパスワード受け付けなくなった!

と言った感じでユーザーさん側ではいろいろ混乱をきたしているようでした。

タニガワさんのやり方は「なんちゃってSSO(笑)」

ちなみにタニガワさん、つい最近まで20数年にわたって同じパスワードを多数のサービスで使いまわしてたんですよね。

だってパスワード考えるのめんどいんだもんw

まさにITmediaさんのニュース記事やpixivさんの警告してたパスワード使いまわし。

「なんちゃってSSO(笑)」なんてうそぶきながらw

あ、ちなみにSSO(エスエスオー:シングルサインオン)とは、一回の認証で複数のサービスにログインできるという機能のことです。

とりあえず、以下のWikipedia記事が参考になるのかなと。

シングルサインオン - Wikipedia

歴史はどのくらい?

この頃タニガワさんが使ってたパスワード。

20数年前(1997年ごろ)にインターネットを始めたばかりの頃に、プロバイダが初期設定したパスワードをID情報の紙見ながらログインのたびに何度か打ってたらカラダが覚えてしまったので、そのままいろんなサービスで利用してたんですよね。

だいたいこの頃利用してたのが、

  • 最初煮契約したBIGLOBEの初期パスワード
  • 次に契約したSo-netの初期パスワード

まぁ、ちょうど英数混じり8文字なので当時のタニガワさんには覚えやすかったんですね。
後年いろんなサービスに登録する際はこれらのパスワードのどちらかをそのまま使ってました。

ちなみにタニガワさん若い頃は物覚えにはちょっとは自信あったけど、その時点でもだいたい8ケタ〜10ケタ程度のランダムな英数文字列は

覚えられるのはせいぜい3パターンくらい

物覚えの悪くなったおっさんのタニガワさんは、いまランダムな文字列見せられても覚えられるのはせいぜい2パターンくらいまでに落ちてます。

英字が大文字小文字区別だと能率落ちるし、記号も含まれると1パターンすら覚えきれる自信がありませんw

そして上述の「Have I Been Pwned」。

この使いまわしパスワードを入れてみたら

はい、バッチリ侵害されてました\(^o^)/

「1Password」との出会い

半年ほど前、2019年の7月か8月にiOSのApp Storeで見つけたのが「1Password 7」と言うアプリ。

iOS、AndroidだけでなくmacOSやWindowsのデスクトップアプリも用意されていて、年額5000円前後のサブスクリプション制ということで、思い切って契約しました。

‎1Password 7 - Password Manager
‎Welcome to 1Password 7.0, the greatest password manager ever created. 1Password remembers all your passwords for you, and keeps them safe and secure behind the...

macOSやWindowsのデスクトップアプリは、Google ChromeやMozilla FireFoxで保存されているパスワード一式をインポートする機能がありましたので、この機能を利用してパスワード管理を移行しました。

ちなみにブラウザ拡張機能としての1Passwordは、ランダムな文字列でのパスワードを自動生成する機能もあります。

  • 文字列のケタ数を自在に設定可能(64文字くらいまでなら全然おk)
  • 数字混じり/記号混じりも設定可能
  • 英字はデフォルトで大文字小文字混じりの模様

と、パスワードの自動生成機能がかなり便利でした。

サービスの新規登録時にパスワードポリシーを見て、記号を入れる入れない、パスワード最大ケタ数を変更するなど微調整も可能です。

アプリの機能で診断すると

ちなみにmacOS版、Windows版のアプリは、登録されているサイトやユーザー名、パスワードなどの情報を上述の「Have I Been Pwned」と連携しているようで、脆弱だったり侵害されたパスワードに合致すると「侵害されたパスワード」と言う項目に、何項目合致したのかわかりやすく表示されます。こんな感じで。

ちなみに1Passwordを使い始めてChromeからパスワード一式をインポートしたあとこの侵害パスワードの件数を見たら

200件以上

マジデ!?( Д ) ゜ ゜

ちなみにこの当時パスワードを登録していたサービスは500以上。

タニガワさん、慌てて数百サービスのログイン情報変更に勤しむ

この結果を受け、侵害されたパスワード使ってたサービスはパスワードジェネレーターの機能も借りて1週間くらいかけて以下のパスワードポリシーをこちらで定義して、各サービスのパスワードを変更しました。

  • 文字数は16文字前後(サービス側で最大ケタ数が少ない場合を除く)
  • 可能な限り記号混じりにする
  • タニガワさんはもうパスワードを頭の中に覚える気一切ナッシング(゚∀゚)アヒャ

おかげさまで、(タニガワさんがアカウント作った事自体を忘れてたサービスがない限りは)この侵害されたパスワードはすべて根絶しました(゚∀゚)

併せて、利用するつもりのないサービスは思い切って全部退会/解約しました。

まぁ、丁度いい棚卸しにもなりました(*´∀`)

ちなみに上記のスクリーンショットで侵害パスワードが1件あるのは、とある機器のパスワードが初期のままなためですw

この記事書くのにわざわざ脆弱性晒す意味はないので、記事書きながら急いでパスワード設定し直し、機器を再起動してパスワードを反映させています。

最後に

今後この「Have I Been Pwned」のデータと連携して、弱いパスワードは最初から登録させなくするサービスは今後増えていくかと思います。

人力の頭でパスワードを覚えるのには限度があるかと思うので、今回紹介した1Passwordを含め、パスワード管理ソフトを活用して、パスワードはソフトから自動入力する仕組みを作ると管理が楽になるかと思います。

パスワード管理に手を焼いている皆さん、是非1Passwordを始めとするパスワード管理ソフトのご活用をご検討くださいませ😊

※この記事はアフィリエイト成分なしなのでご安心くださいw

タイトルとURLをコピーしました