パスワードの使い回しで何が起きるか
——実際の流出シナリオ
「どうせ自分のパスワードは流出していない」「複雑なパスワードを使っているから大丈夫」——この思い込みが、実は最大のリスクです。パスワードの使い回しがどのように被害を連鎖させるのか、実際の攻撃手法と具体的なシナリオで解説します。
攻撃者はあなたのパスワードをすでに持っているかもしれない
「自分は有名人でも大企業でもないから狙われない」——多くの人がそう思っています。しかし現代のサイバー攻撃において、攻撃者はあなたを「個人」として狙っているのではありません。
攻撃者が使う主な手口のひとつが、クレデンシャルスタッフィング(credential stuffing)です。これは過去に流出したID・パスワードの大量リストを使い、別のサービスへの自動ログインを試みる攻撃です。
「クレデンシャル(credential)」とはIDとパスワードの組み合わせのこと。過去に漏洩したサービスから盗まれたIDとパスワードのリストを別のサービスに次々と試し入力する攻撃手法。ボットが自動で大量試行するため、人間の目には見えないスピードで行われる。
「Have I Been Pwned(HIBP)」という流出確認サービスには、140億件以上のアカウント情報が登録されています(2025年時点)。これは過去に何らかのサービスで流出したIDとパスワードの実データです。あなたのメールアドレスが含まれていても、あなた自身は気づいていない可能性があります。
「合鍵を10か所に配る」という危険さ
パスワードの使い回しがなぜ危険なのか、身近なたとえで考えてみましょう。
あなたが自宅の合鍵を10か所——取引先、コンビニ、ジム、習い事の教室……——に預けているとします。そのうちの1か所でカギが盗まれたとき、何が起きるでしょうか。
盗んだ人はその合鍵を使って、あなたの自宅だけでなく、残り9か所すべてに入れます。鍵の形は同じですから。
パスワードの使い回しは、これとまったく同じことです。どこか1か所のサービスでパスワードが流出した瞬間に、同じIDとパスワードを使っているすべてのサービスへの鍵を渡したのと同じ状態になります。
実際にこう侵害される——ECサイトからネットバンクまで
抽象論ではなく、実際の攻撃がどのような順序で進むかを具体的なシナリオで見ていきましょう。主人公は「田中さん」、中小企業で働く社員です。
よく使うパスワードは「tanaka1984!」。ECサイト・会社のメール・ネットバンク・SNSすべてで同じものを使っている。「英字+数字+記号を含む8文字以上」という要件は満たしているので、自分では「安全なパスワード」だと思っている。
ECサイトAで情報漏洩が発生
田中さんが数年前に利用したECサイトで不正アクセスが起き、数万件の顧客データが流出。田中さんのメールアドレスと「tanaka1984!」がセットで攻撃者の手に渡る。田中さんはこの事実を知らない(ニュースになっていない小規模サービス)。
流出リストがダークウェブで売買される
盗まれたID・パスワードはダークウェブのマーケットで数ドル〜数十ドルで売買される。購入した別の攻撃者がクレデンシャルスタッフィングのボットに読み込ませ、主要サービスへの自動ログインを試行。
会社のWebメールに不正ログイン成功
同じIDとパスワードで会社のWebメールに侵入成功。攻撃者はまず受信トレイを静かに「読む」だけにして、田中さんが気づかないよう潜伏する。取引先とのやり取り、請求書の宛先、上司の名前——すべての情報を収集。
取引先への請求書詐欺・パスワードリセット悪用
収集した情報をもとに、取引先への「振込先口座変更」メールを田中さんになりすまして送信(BEC詐欺)。同時に、メールを使ってネットバンクのパスワードリセットを実行。リセットメールがすでに侵害済みのメールボックスに届くため、攻撃者はそれを受け取りネットバンクも掌握。
被害が発覚したとき、もうすべては終わっている
取引先から「振込先が変わったって本当ですか?」という電話で初めて異変に気づく。その時点で、メール・ネットバンク・各種サービスはすべて攻撃者の支配下。被害額と信用の失墜は、対処のスピードに関わらず避けられない。
このシナリオで田中さんが最初に犯したミスは何でしょうか。ECサイトAに登録したことでも、複雑でないパスワードを使ったことでもありません。「同じパスワードを複数サービスで使い回した」——ただそれだけです。
「自分は大丈夫」という思い込みが最大のリスク
「でも私のパスワードは複雑だから流出しても大丈夫」という声をよく聞きます。残念ながら、これは根本的な誤解です。
誤解①「複雑なパスワードだから解読されない」
クレデンシャルスタッフィングはパスワードを「解読」しません。すでに平文で流出したパスワードをそのまま使います。どんなに複雑でも、流出したあとは意味がない。
誤解②「大手サービスしか使っていないから安全」
大手サービス自体が安全でも、あなたが同じパスワードで登録した小さなサービスが流出源になります。
誤解③「自分は狙われるほど重要な人間じゃない」
ボットは「重要な人」を選ばず、リストに含まれるすべてのアカウントを機械的に試します。あなたの名前も肩書きも関係ありません。
もう一つ見落とされがちな事実があります。パスワードが流出しても、流出したこと自体に気づかないケースが大半です。サービスによっては、セキュリティ事故の事実をユーザーに通知しないまま処理することもあります。「通知が来ていないから大丈夫」という判断は、残念ながら根拠になりません。
企業として今すぐ取るべき対策
個人の問題に見えるパスワード使い回しは、実は企業のセキュリティリスクに直結します。社員のひとりが業務アカウントで同じパスワードを使い回していれば、そこが会社全体への侵入口になります。
1. パスワードポリシーを明文化・周知する
-
1
業務アカウントごとに異なるパスワードを義務づける
「会社のメール・クラウドサービス・社内システムには、それぞれ別のパスワードを使う」というルールを就業規則やセキュリティポリシーに明記し、全社員に周知する。口頭の指示ではなく、文書化が重要。
-
2
パスワードマネージャーの導入を推奨する
「サービスごとに別のパスワードを使え」と言うだけでは無理がある。複雑なパスワードを安全に管理するパスワードマネージャーを会社として推奨・導入することで、社員が実践しやすい環境を整える。
-
3
定期的な流出チェックを行う
業務で使うメールアドレスが流出リストに含まれていないか、「Have I Been Pwned」等のサービスで定期的に確認する。自社ドメインのメールアドレス全体をまとめてチェックできる法人向けサービスもある。
2. MFA(多要素認証)を全社で有効にする
パスワード対策の中で、現時点でもっとも効果が高い対策がMFA(多要素認証)です。パスワードが流出していても、MFAが有効であれば攻撃者はログインできません。
パスワード(知識)に加え、スマートフォンアプリで生成される6桁のコード(所持)や生体認証(指紋・顔)を組み合わせてログインを確認する仕組み。「パスワードだけ知っていてもログインできない」状態を作る。
Microsoftの調査では、MFAを有効にするだけでアカウント侵害の99.9%以上を防げるとされています。
- Microsoft 365 / Google Workspace — 管理コンソールからMFAを全社強制できる
- 社内クラウドサービス(Slack, Notion, kintone等)— 各サービスの設定でMFAを必須化する
- VPN・リモートアクセス — 特に外部からのアクセスにはMFAを必ず設定する
- SMSワンタイムパスワードより認証アプリ(Google Authenticator等)のほうが安全
まとめ——「使い回し」をやめることが最初の一歩
- クレデンシャルスタッフィングは「解読」ではなく「流出済みリストの流用」——複雑なパスワードも使い回せば無意味
- パスワードが流出しても、本人が気づかないケースが大半
- メールアカウントが乗っ取られると、そのメールでリセットできる他サービスもすべて連鎖的に侵害される
- 企業としての対策は「ポリシー明文化」「パスワードマネージャー推奨」「MFAの全社導入」の3点セット
- まず自社の業務アカウントが現在どんなリスクにさらされているかを把握することが出発点
自社のセキュリティリスク、把握できていますか?
Leapsecの無料診断では、外部から見た自社サイトのリスクを5分・登録不要・無料で確認できます。
まずは現状を知るところから始めましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
Have I Been Pwned(hibp.com)公開統計 / Microsoft Security Intelligence Report / IPA(情報処理推進機構)「情報セキュリティ10大脅威 2024」
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)