こういった疑問が、Harris Interactive 社が2,129人のアメリカ国民 (18歳以上) を対象として2012年秋に行ったアンケート調査の結果を見ると浮かんできます。この調査では、例えば、次のような設問が参加者自身に当てはまるかを尋ねています。
「認証用パスワード (オンラインアカウント、コンピュータネットワーク、デバイスのアクセスコード等) を作成するとき数字・文字・記号を組み合わせる。」
この設問に「はい」と答えた回答者の割合は84%でした。近年のパスワード不備が起こした事件の多さを考えれば意外に高い。と思われるかもしれません。これについては、ここ12ヶ月間ほど、当ブログでもご紹介してきました(数ある例証の1つとして、Yahoo!のケースで見られた脆弱なパスワードに関するこちらの記事を参照してください)。
5名中4名以上が、何らかの形で複雑なパスワードを作成しているという事実は、システムの脆弱性が「特定ユーザー」のせいで起こるという説を支持する人にとっては驚きかもしれません(「特定ユーザー」「ユーザー訓練が不十分」という見方については、ESETブログをご参照ください)。
シニカルな言い方をすれば、強固なパスワードしか採用しないオンライン認証システムが増えたためだということになるでしょうが、筆者自身は「強固なパスワード」とはどんなものかという認識が、ある程度普及してきたという見方を支持したいと思います。
安全なパスワードを使っているのは誰か?
パスワードを複雑にしているかという質問への回答を、年齢等の項目別に見た場合には、さらに衝撃的な事実が分かりました。
18歳から34歳までの年齢層は、この質問に「はい」と答えた割合が最も低く(77%)、割合がもっとも高かったのは55歳以上でした(89%)。
また既婚/独身で見た場合に、既婚者の89%が複雑なパスワードを用いるのに対し、独身者(または結婚歴がない人)は77%と、同様の顕著な差が見られたことも、社会学者から見れば興味深いことかもしれません。
また、対象者を所得で見た場合、低所得層では複雑なパスワードを作成する人は79%にとどまり、高所得者層(所得5万米$から7万4,900米$の層で88%、また最も高額所得である7万5,000米$以上の層では89%)に比べて少ないという結果が出ました。
世帯人数とパスワードの複雑さが比例するのが面白いのですが、同居人がコンピュータを覗き見することなどを警戒しているのかもしれません。同居人の少ない家庭のユーザーほど、複雑なパスワードを作成しない傾向がありました。1人暮らしのユーザーでは75%、2人暮らしでは一気に上がって87%でした。
もっとも懸念されるのは、学生は複雑なパスワードを作成する人が少ないことです (77%)。この傾向は、フルタイム/自営業/退職者に比べ(それぞれ86%)、顕著です。若い人がそれだけ呑気なのか、オンライン脅威に対する意識が低いのか、また「パスワード疲れ(パスワードが複雑すぎると、全て覚えきれない)」なのかは定かでありません。
セキュリティ脆弱性のパターンとは?
オンラインセキュリティという点で、リスクの高い行動をしている若者・学生の特徴は、この質問に対する回答に一層顕著に現れました。
「複数のオンラインアカウントに同じパスワードを使っている」
46%ほどの回答者は、複数アカウントで同じパスワードを使っていると認め、その内18歳から34歳の層で最高(49%)、55歳以上の層で最低になりました(43%)。同じパスワードを使う人が最も多かった層は18歳から34歳の女性(56%)、最低は55歳以上の女性の層でした(35%)。
暗証番号となると、全体的にセキュリティ意識は上がるようです。それは次の質問への回答を見ると分かります。
「携帯電話の暗証番号(留守番電話のパスワード等)がATMの認証番号と同じである。」
ATMと留守番電話に同じ暗証番号を使っている割合は、全体では10人に1人(8%)程度です。ただ、その2つに同じ認証番号を使う習慣を持つ傾向が強いのは、ここでも18歳から34歳の層(12%)でした。そして、55歳以上の層では最小(3%)でした。
興味深いことに、男性の18歳から34歳の層で同じ暗証番号を使う人が最も多く(13%)、男性の55歳以上では最も低いことが分かりました(2%)。
若年層はデジタルな個人情報の保護について注意が足りない傾向が見て取れますが、さら教育レベルで見ると、見落としがちな事実にも気づきます。
例えば、暗証番号を携帯電話とオンラインで重複させる人の割合が最も高いのは、大卒者です(10%)。大卒者はまた、複数の個人アカウントで同じパスワードを使い回す人が最も多かった層でもありました(52%)。一方、最終学歴が高卒以下の場合は、パスワードの重複を避ける人が多いと分かりました(41%)。
このような行動について理解が深まるにつれ、パスワードが情報セキュリティとプライバシー保護の最前線であるという事実を、やはり忘れてはならないと感じます。
ソーシャルメディアのアカウント、オンライン処方薬の追加注文、銀行口座、ネットワークやデバイス(デスクトップ、ノートPC、スマートフォン、タブレットなど)へのアクセスに至るまで、プライバシーとセキュリティの保護に関しては、いまだパスワードが必要となって幅広い役割を果たしているのが現状です(しかも、それでおいしい思いができるのは犯罪者だけのようです)。
従ってより良い認証方式が普及するまで、パスワードをできる限り安全に使うほかありません。Security Our eCityのシンポジウムでFBIのデジタル犯罪捜査の専門家が発表した、「もし、パスワードをより強固にして、システムのパッチ適用に励む人が増えてくれれば、私の抱える事件ははるかに少なく済むでしょう。」という発言を、常に心にとめておく必要があります。
この話題については次回の記事でも、調査結果を中心に引き続きご紹介していきたいと思います。webブラウザやパスワード管理ソフトウェアでパスワードを保存する方法を取り上げる予定です。
調査方法(要約):この調査はESETの依頼により、18歳以上の2,129人を対象に、2012年8月27日から29日までHarris Interactiveにより米国で実施されました。このオンライン調査では、標本を無作為に抽出しているわけではないため、理論的に抽出誤差を計算することはできません。
出典:blog.eset.com
