パスワードというものは、どうしても「自分だけのもの」という感覚になりがちです。
自分しか知らないし、自分で管理している。そう考えるのは自然だと思います。
ただ、診断やインシデント対応の現場に立っていると、その感覚と実際のリスクの間に、少しずつズレがあることを感じます。
パスワードは“個人の秘密”であると同時に、組織全体を支えている共通の前提でもあります。そしてその前提は、想像以上に簡単に崩れます。
実際のところ、派手な攻撃手法が使われる場面は、そう多くありません。
ゼロデイや高度なエクスプロイトではなく、「正しいIDとパスワードで、普通にログインされていた」というケースのほうが、はるかに頻繁に見かけます。
最初は、ごく小さなきっかけです。
- 外部サービスで使い回していたパスワードが漏れた。
- それを本人も会社も気づかないまま、時間だけが過ぎる。
- そしてある日、その情報が別の場所で“使われる”。
そこから先は、個人の問題では済みません。
一つのアカウントを足がかりに、社内のSaaS、メール、ファイル共有、管理画面へと、静かに影響が広がっていきます。
気づいたときには、「いつから入られていたのか分からない」という状態になっていることも珍しくありません。
パスワード管理の怖さは、漏れた瞬間よりも、「漏れていると誰も気づいていない時間」にあります。
その時間が長いほど、被害は個人から組織へ、限定的な影響から構造的な問題へと変わっていきます。
現場で見てきたのは、特別に気が緩んでいた人ではありません。
むしろ、日々真面目に業務をこなしている、普通の社員のアカウントが起点になるケースばかりです。
だからこそ、パスワード管理は「気をつけましょう」で終わる話ではなく、会社として、仕組みとして支えるべき領域だと感じています。
この感覚を共有できるかどうかで、その後に取る対策の重みが変わってきます。
何も起きていない今だからこそ、落ち着いて考えられるテーマでもあります。
TABLE OF CONTENTS
パスワードは、どこから漏れるのか
多くの場合、原因は特別なものではありません。
むしろ、「よくある経路」が、そのまま事故につながっているケースばかりです。
たとえば、外部のWebサービスが侵害され、認証情報が流出するケース。
平文でなくても、解析済みのハッシュが出回れば、時間の問題になることもあります。
本人は何もされていないつもりでも、別の場所で同じパスワードを使っていれば、影響はそこまで広がります。
フィッシングも、いまだに非常に多い入口です。
本物と見分けがつかないログイン画面に誘導され、業務の流れでそのまま入力してしまう。
後から振り返れば気づけたかもしれませんが、忙しい業務の中では、誰でも起こり得ます。
端末側に原因があることもあります。
マルウェアやキーロガーに感染していれば、入力している内容そのものが記録されます。
どんなに強いパスワードを設定していても、「打った瞬間」を見られてしまえば意味がありません。
パスワードの使い回しは、今でも根強い問題です。
一つ漏れただけのつもりが、実際には複数のサービスに波及していく。
パスワード管理の観点では、ここが被害を拡大させる最大の要因になることが多いと感じています。
また、意外と多いのが設定ファイルやバックアップの公開です。
クラウドストレージやログが、誰も気づかないまま外部に公開されていた。
そこに認証情報が含まれていた、というケースも珍しくありません。
内部での露出も、決して特殊な話ではありません。
付箋、スプレッドシート、チャットツール。
「一時的な共有」のつもりが、そのまま残り続けていることもあります。
そして、最近特に増えているのが、委託先や連携先を起点とした流出です。
自社の管理外にあるサービスやアカウントが侵害され、そこから影響が及ぶ。
自分たちでは見えにくい分、発見が遅れやすいのが厄介な点です。
どれも「よく聞く話」かもしれません。
ただ、実際に起きたときの影響は、想像以上に広がります。
そして多くの場合、最初のきっかけはごくありふれたパスワード管理のほころびです。
コンボリストが危険な理由
漏えいした認証情報は、そのまま単体で使われるとは限りません。
現場で見ている限り、攻撃者はもっと効率のいいやり方を取ります。
複数の流出データを組み合わせて作られるのが、いわゆるコンボリストです。
メールアドレスとパスワードの組み合わせを、大量にまとめたリストだと考えると分かりやすいと思います。
【解説】コンボリストとは?
コンボリスト(Combo List)は、過去にどこかのWebサービスや企業から漏洩したログイン情報を、使いやすいようにテキスト形式(ID:Password の形式)でまとめたものです。
- 名前の由来: ユーザー名とパスワードの「コンビネーション(組み合わせ)」から来ています。
- 中身: 数万件から、多いものでは数億件にのぼるリストが、ダークウェブなどで売買されたり、ハッカー同士で共有されたりしています。
これがあると、次のようなことが一気に試せてしまいます。
- 社内SaaSへのログイン試行
日常業務で使われているサービスほど、入口として狙われやすくなります。 - VPNやクラウド管理画面への認証試行
ここが通ると、その先にある範囲は一気に広がります。 - メールアカウントへの侵入
メールが取られると、リセット通知や内部連絡まで見られるようになります。
いずれも、特別な操作は必要ありません。
正しい認証情報を使っている以上、見た目は「普通のログイン」と変わらないからです。
一人分の漏えいでも、影響はそこで止まりません。
同じパスワードが使われていれば、別のサービスへ。
権限があれば、さらに別のアカウントへ。
コンボリストは、そうした横展開を一気に進めるための材料になります。
そしてその出発点は、ごく普通のパスワード管理の抜けであることがほとんどです。
侵害がなくても集められる情報
攻撃者は、必ずしも社内システムを直接侵害する必要はありません。
実際には、その前段階で集められている情報のほうが、ずっと多いと感じます。
たとえば、LinkedInのような公開情報からでも、次のような要素は比較的簡単に集まります。
- 氏名
実名での活動が前提になっているケースがほとんどです。 - 役職
管理職か、現場担当か。それだけでも狙い方は変わります。 - 所属部署
経理、IT、情シスといった部署は、どうしても目に留まりやすくなります。 - メールアドレスの命名規則
一人分分かれば、他のアドレスも推測できてしまうことがあります。
これらの情報自体は、どれも機密ではありません。
ただ、コンボリストと組み合わさることで、意味合いが一気に変わります。
- 誰が管理者か
- 誰が経理やITを担当しているか
- どのアカウントが最初の入口になりやすいか
そうした輪郭が、少しずつ見えてきます。
ここがやっかいなのは、まだ侵害は起きていないのに、準備だけは着実に進んでいる点です。
外から見れば何も起きていない。
内部でも気づくきっかけがない。
それでも、水面下では条件が静かに整っていく。
この感覚は、実際の調査や診断の中で、何度も見てきました。
SSO・委託先が入口になるケース
自社の設定がしっかりしていても、入口が社内とは限らないケースがあります。
実際の調査では、「中はきれいだった」という場面のほうが多いくらいです。
問題になるのは、外に置かれた前提です。
- 共通アカウントを使い回している委託先
誰が、いつ、使っているのか分からない状態になりやすく、痕跡も追いにくくなります。 - MFAが弱い、もしくは無効な外部サービス
自社では必須にしていても、連携先では任意だった、という話は珍しくありません。 - 共有されたAPIキーやトークンの管理不備
便利さを優先した結果、失効されないまま残っていることもあります。
こうした場所が侵害されると、SSOや各種連携機能を通じて、「正規の経路」で自社環境へ移動されるケースが出てきます。
ここが厄介なのは、社内のログや設定を見ても、異常が見えにくい点です。
「社内では何も起きていない」その安心感が、結果的に気づきを遅らせてしまうことがあります。
境界が社外に広がっている今の環境では、パスワード管理や認証の問題は、どうしても自社だけでは完結しません。
その前提に気づけるかどうかが、後の対応を大きく左右します。
よくある攻撃の流れ
現場でよく目にする流れは、だいたい次のような形です。
どれも特別な手法ではありません。
- コンボリストを入手
どこかで流出した認証情報が、すでに整理された状態で手に入ります。 - 公開情報から社員情報を照合
名前や役職、部署を突き合わせ、「どこから入るか」を絞っていきます。 - 認証情報の使い回しやフィッシングで侵入
正しいIDとパスワードが通れば、それだけで最初の扉は開きます。 - 権限昇格やトークンの取得
一つのアカウントを起点に、見える範囲が少しずつ広がっていきます。 - 情報窃取、ランサムウェア、もしくは長期潜伏
目的に応じて、静かに続くケースもあれば、表に出る形で被害が見えることもあります。
ここまで進むのに、特別な脆弱性を突く必要はありません。
ゼロデイも、高度なエクスプロイトも使われていないことがほとんどです。
正しいパスワードでログインされる。
それだけで、この一連の流れが成立してしまいます。
だからこそ、パスワード管理や認証の扱いは、
「気をつけているつもり」では足りない領域だと感じています。
現実的にできる対策
パスワード管理や認証の話は、理想を挙げ始めるときりがありません。
現場ではまず、「今日このあと確認できること」から手を付けるほうが、結果的にうまく回ります。
すぐに確認できること
- 重要なアカウントでMFAが有効か
管理者権限、メール、SSO。このあたりは最初に確認しておきたいポイントです。 - 同じパスワードを使い回していないか
本人の記憶に頼らず、仕組みとして防げているかを見ます。 - 管理者権限が必要以上に付与されていないか
昔のまま残っている権限が、入口になることは少なくありません。
技術・運用面でできること
- パスワードマネージャーの利用
「覚えなくていい」状態を作るだけで、使い回しは大きく減ります。 - MFAの強制(可能であればハードウェアキー)
完璧ではありませんが、コンボリスト対策としては非常に効果があります。 - 失敗ログインや異常な認証の監視
入られてから気づくのではなく、「試されている段階」で拾えると楽になります。 - アカウント棚卸しの定期実施
使われていないアカウントを減らすだけでも、攻撃面はかなり小さくなります。
委託先・外部サービスの確認
- 共有アカウントの有無を把握する
「誰が使っているか分からない」状態は、それ自体がリスクです。 - 委託先のMFA・認証方針を確認する
自社と同じ前提で動いているとは限りません。 - APIキーやトークンの管理方法を確認する
発行したまま失効されていないものがないか、一度見ておく価値はあります。
もしものための備え
- フィッシング報告の窓口を明確にする
「どこに言えばいいか分からない」時間が、一番もったいないと感じます。 - アカウント侵害時の初動手順を整理しておく
技術よりも、連絡順や判断基準が決まっているかが重要になります。
これらは、どれか一つやれば安心、という話ではありません。
ただ、どれも現実的に手を付けられるものです。
パスワード管理を「個人の注意力」に任せるのではなく、組織として“そうならない前提”を作れているか。
この視点で見直すだけでも、取るべき対策の優先順位は自然と見えてきます。
個人として意識してほしいこと
これは、特別な立場の人だけに向けた話ではありません。
管理者や情シスだけが意識すればいい、というものでもないと感じています。
日々の業務の中で、個人としてできることは、実はそれほど難しくありません。
- パスワードマネージャーを使う
覚えなくていい状態を作るだけで、使い回しは自然と減ります。 - 仕事用と私用のパスワードを分ける
どこか一か所で起きたことが、仕事に持ち込まれないようにするためです。 - 突然届いたリセット通知は、そのまま押さない
少し立ち止まって、本当に自分の操作かを確認するだけでも違います。 - 少しでも違和感があれば、すぐ共有する
早い段階で分かれば、被害は広がらずに済むことが多いと感じています。
どれも、小さな判断です。
ただ、その積み重ねが、結果として組織全体を守ることにつながります。
パスワード管理は、仕組みだけで完結するものでも、個人の注意力だけで背負うものでもありません。
その中間にある、一人ひとりの「気づき方」が、意外と大きな差を生みます。
「正しいパスワード」を悪用されないために
パスワードの漏えいは、誰か一人のミスとして片付けられる話ではありません。
現場で見てきた限り、攻撃者は一つの情報だけを頼りに動いているわけではなく、集められる断片を組み合わせながら、効率よく範囲を広げていきます。
一方で、どうすればいいかが分からない状況でもありません。
MFAを有効にすること。
パスワード管理を仕組みとして支えること。
委託先や連携先の前提を一度見直すこと。
そして、日常の中にある小さな違和感を、そのまま流さないこと。
どれも、特別な対策ではありません。
ただ、後回しにされやすいだけのものです。
何も起きていない今だからこそ、
「自分たちの認証情報は、どこで、どう扱われているのか」
一度だけ、静かに思い浮かべてみる。
その時間を取れるかどうかで、いざというときの選択肢は、大きく変わってくると感じています。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
