「アカウント情報が流出してもパスワードを変更しない人が大半」という調査結果

「データ侵害事件が発生しても、パスワードを変更するユーザーは全体の3分の1に過ぎない」とカーネギーメロン大学のセキュリティ・プライバシー研究所の研究チームが明らかにしました。

(How) Do People Change Their PasswordsAfter a Breach?
(PDFファイル)https://www.ieee-security.org/TC/SPW2020/ConPro/papers/bhagavatula-conpro20.pdf

Data breach victims aren't changing their passwords | TechRadar
https://www.techradar.com/news/data-breach-victims-arent-changing-their-passwords

カーネギーメロン大学の研究チームが行ったのは、ブラウザトラフィックに基づいた「パスワードの変更タイミング」の調査です。研究チームは、学術研究を支援するためにブラウザの使用履歴などの共有に同意する同校の有志グループ「Security Behavior Observatory」から得られたデータに基づいて、2017年1月から2018年12月の期間内に被験者249人のPCから、特定のウェブサイトのログインに用いられるパスワードや、ブラウザに保存されているパスワードを含むログイン情報を収集しました。

このデータを分析したところ、情報漏えい事件が公表されたドメインのアカウントを所有しているユーザーは249人中63人。この63人のうち、情報漏えい事件後にパスワードを変更したのはわずか21人(33％)でした。つまり、63人のうち約3分の2が「情報漏えい事件後も、パスワードを変更しなかった」ことになります。加えて、パスワードを変更した21人のうち、情報漏えい事件の公表から3カ月以内にパスワードを変更したのは、15人だけでした。

さらに、研究チームは「変更後のパスワードの強度」についても調査を行っています。パスワードは複雑であればあるほど、あらゆる文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」などに対して強固になるため、強度が高く破られにくいパスワードといえます。しかし、今回の調査では、パスワードを変更したユーザーのうち、以前よりも強度の高いパスワードを設定したのは全体の約3分の1だったとのこと。残りのユーザーは、前のパスワードの文字列を大部分使い回したパスワードか、ほかのサービスで使っているパスワードによく似たパスワードを使用していました。

今回のニュースを報じたTechRadar Proは、「Have I been pwned?」を活用して自分のアカウント情報が流出しているかどうかを調べるように推奨しています。

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE