気軽にしていませんか? 配信サービスの“アカウント共有”が招く最悪のシナリオ

0

2021年10月19日 07:22  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真Twitterで「アカウント共有」と検索すると多数の依頼投稿が見受けられる
Twitterで「アカウント共有」と検索すると多数の依頼投稿が見受けられる

 先日、筆者のSNS観測範囲で不穏な話が舞い込みました。ある動画配信サービスについてSNSでつぶやいたところ、見知らぬSNSアカウントから「動画配信サービスのアカウントを共有してほしい」というリプライがあったそうです。



【その他の画像】



 調査してみると、動画配信サービスに限らず音楽配信サービスなどを含め、同様の投稿が多くみつかりました。この現状は、少々どころか非常に問題だと思っています。今回はこうしたアカウント共有のセキュリティリスクを考えてみましょう。



●クラウドサービスはアカウントの共有は規約上許されていないケースも



 クラウドサービスはIDとパスワードで認証するケースが多く、先進的なものは2段階認証を含めた仕組みを取り入れていますが、そのアカウントを共有、つまり「複数のユーザーがログイン」することは問題ないのでしょうか。



 これに関する認識が浸透していない2019年末に、ねとらぼが各社に問い合わせをした記事がありました。結論としては“家族を超える範囲でのアカウント共有は規約上許されていない”というのが記事の概略です。



 ちょうどこの時期、Netflixでジャニーズの人気グループ「嵐」のドキュメンタリーが独占配信されることが発表されており、それに伴いアカウント共有の希望がSNSに多く投稿されていました。同じ志を持つ“ファン”同士だからか、規約を超えたつながりを大事にしてアカウント共有が広がっていたのではないかと推察します。



 恐らくサービス運営側もこの問題は把握済みでしょう。ログインしたIPアドレスも把握できているので、同時に複数の場所での利用が確認でき、それが明らかにおかしな挙動をしているのであれば、対処できるはずです。実際、ねとらぼの問い合わせに対しても「然るべき対策をとらせていただくこともございます」という回答が返ってきています。



 離れて住む家族間でアカウントを共有するケースもあるため、規約でもある程度“配慮”されているのかもしれませんが、セキュリティの問題から見知らぬ人はもちろん、家族であってもアカウントの共有は推奨できません。



●アカウント共有で考えられる“最悪のシナリオ”



 個人的に、IDやパスワードを含むアカウント共有は、単にサービス規約違反によるアカウントの凍結にとどまらないリスクを抱えていると思います。



 クラウドサービスのIDは多くの場合、メールアドレスを利用します。またパスワードをサービスごとに使い分けるユーザーはあまり多くないでしょう。つまり、1つのサービスのID(メールアドレス)とパスワードを知られれば、別で利用するサービスの認証情報を知られることにつながる恐れがあります。



 「Gmail」のようにクラウドサービスで提供され、誰でもログインフォームを見られるメールアドレスを主に利用している場合、同じパスワードでメールの認証を突破される可能性もあります。リセットを指示するメールも見られてしまうため、パスワードが異なるサービスでもそれらを片っ端からパスワードリセットされれば、ほぼ全てのサービスの所有権が奪われるかもしれません。



 自分だけがこのリスクを理解していても、周囲が理解していなければ同様です。筆者は以前、子どもの友人が自宅に遊びに来た際、おのおのが持ち込んだ携帯ゲーム機でWi-Fiが必要になるため、「友人にもWi-Fiパスワードを教えてくれ」とせがまれた、という話を聞きました。このご家庭ではパスワードを教えてしまった結果、友人が自宅玄関の前に集まってゲームをするようになってしまったそうです。このケースでは子どもたちの間でパスワードが流通していた可能性があります。



 親が設定したIDやパスワードが、子どもを通じて他人と共有されるリスクは見逃されがちです。スマートフォンや携帯ゲームを持たせるときには、IDやパスワードの重要性をしっかりと教える必要があるでしょう。



●社会全体で意識を高めるために、まずは自分から



 さまざまなサイバーインシデントが発生するたびに、当事者になった企業は原因のセキュリティ不備に対処を求められます。「EDR」(Endpoint Detection and Response)や「ゼロトラスト」「SASE」(Secure Access Service Edge)など新たなキーワードは毎年のように入れ替わり、都度私たちもそれを追いかけることに疲弊しています。



 しかしこれらのバズワードの実態は、非常にシンプルで「基礎的なセキュリティ対策」に集約されていきます。特にゼロトラストはシンプルに言えば「認証」が鍵となり、その仕組みをこれまでとは違う角度でセキュリティに組み込むことがポイントです。要するに認証を使う仕組みの強化が、セキュリティの基礎と言えます。



 まだまだ2段階認証や多要素認証は一般には浸透していません。なぜSMSで送られる6桁のコードを入力することが、セキュリティ強化につながっているのかを理解している人は多くはないはずです。その前段階の「パスワード」も、漏えいよるリスクの大きさが把握されていないのが実情です。



 その理由は、そのリスクを「誰も教えてくれなかったから」かもしれません。パスワードの作り方や守り方を誰かが教えなければ、理解は浸透しません。まずは家族間でその課題認識を高めていくことが、第一歩なのではないかと思います。



 企業についても同様で、例えば管理サーバにログインする際、部内で「共通パスワード」を利用していませんか。確かに運用は楽になりますが、万が一情報漏えいがあった場合には組織の全員が"意図的に漏えいさせた"可能性がある者として疑われてしまうリスクがあります。まずはこうした間違った運用や間違った認識を変えていきましょう。


    ニュース設定