Rokuの大規模ハッキングはパスワードの再利用をすべきではない理由

オンラインでの生活は、現実世界とは大きく異なることがあります。特にセキュリティが絡む場合はなおさらです。家の鍵をなくしても、誰かが家に侵入してくる可能性は低いでしょう。しかし、ログイン情報が漏洩したら？それは標的となります。例えば先週、Rokuはなんと57万6000人のユーザーがクレデンシャルスタッフィング攻撃の被害に遭ったと発表しました。これは、3月中旬に最初に報告された1万5000アカウントをはるかに上回る数字です。

クレデンシャルスタッフィングとは、データ漏洩や侵害から取得したユーザー名とパスワードを様々なウェブサイトに入力する行為です。ハッカーは自動化によって迅速かつ効率的にこの操作を実行できます。これは、今回の攻撃で影響を受けた50万アカウントからも明らかです。今回のRokuへの侵害の背後にいる攻撃者は、支払い情報が登録されている数百のアカウントを通じて、ストリーミングサービスのサブスクリプションとRokuハードウェア製品を最終的に購入しました。 

これを受け、Rokuは不正な請求を取り消し、すべてのアカウントで二要素認証を有効化しました。ユーザーは今後、メールで送られてくる認証リンクをクリックしてログインを完了する必要があります。

これらの対策はすべて正しいものですが、一つだけ問題があります。それは、パスワードを使い回す人がいるため、このようなハッキングが可能になり、その後の修復が必要になるという点です。もしもっと多くの人がRokuのプロフィールに支払い情報を保存していたら、今回のハッキングに巻き込まれた57万6000人のユーザーがRokuの8000万のアクティブアカウントのほんの一部に過ぎなかったとしても、被害ははるかに甚大になっていた可能性があります。

実のところ、今日の環境においてパスワードの使い回しは、ドアノブ式の鍵と同じくらい役に立たない。たまたま覗き込む人なら防げるかもしれないが、侵入を決意した人なら防げない。弱いパスワードも同様に危険だ。なぜなら、コンピューターは単純なパスワードを驚くほど簡単に解読したり推測したりできるからだ。

テラハッシュ / X

最も危険なシナリオは、使い古されたパスワード、弱いパスワード、あるいは簡単に推測できるパスワードが金融口座で有効になっている場合です。ハッカーはわずかな労力であなたの貯蓄を盗み取ってしまう可能性があります。最善の場合、銀行に申し立てればお金を取り戻せるかもしれませんが、最悪の場合、損失の責任を負わされる可能性があります。

ショッピングサイトもそれに劣らず、支払い情報をファイルに保存するのが一般的です。誰かがあなたの名前で何百件（場合によっては何千件）もの不正請求をあっという間に積み重ね、あなたにその混乱を突きつける可能性があります。

しかし、生年月日、住所、電話番号、年齢といった個人情報を「のみ」保持するサイトであっても、リスクは存在します。悪意のある人物がこれらの情報を利用して、あなたのより詳細なプロフィールを作成し、機密性の高い、あるいは重要なアカウントに対してソーシャルエンジニアリング攻撃を仕掛けてくる可能性があります。

パスワードを使い回している場合でも、簡単に解決できます。Rokuのセキュリティチームが、どうすれば良いかという具体的な方法を教えてくれました。まず、パスワードを変更して、サイトごとにユニークで強力なパスワード（長いほど良い）を作りましょう。パスワードマネージャーを使えば、この作業は楽に行えます。有料サービスでも無料サービスでも、パスワード（さらにはユーザー名も）を自動生成し、保存してくれます。

次に、アカウントに可能な限り2段階認証を追加してください。セキュリティを最大限に高めるには、パスワードマネージャーとは別のアプリを使用するのが理想的ですが、互換性のあるパスワードマネージャーに保存している場合でも、少なくとも2段階認証は有効です。少なくとも、個人情報（または身元を明かす可能性のある情報）や支払い情報を含むアカウントでは、2段階認証を有効にしてください。

これら2つの対策を講じることで、オンラインセキュリティは大幅に強化されます。ただし、一つだけ重要なアドバイスがあります。パスワードマネージャーのパスワードとメインのメールアドレスは必ず覚えておきましょう。覚えておかないと、生活に大きな支障をきたす可能性があります。

著者: Alaina Yee、PCWorld 上級編集者