カージナルス対アストロズのハッキング事件から学ぶ教訓:新しい会社では古いパスワードを使い続けないこと
ボブ・サリバン著
まず、まだ読んでいないなら、ぜひ読んでください。ニューヨーク・タイムズ紙によると、FBIは野球のセントルイス・カージナルスをヒューストン・アストロズへのハッキング容疑で捜査しているそうです。カージナルスの何者かが、アストロズの選手評価ファイルやトレードの可能性などに関する情報を含むデータを盗んだとされています。このような企業スパイ活動は日常茶飯事で、もし信じられないなら、それはそれで構いません。
興味深い話があります。この話の真相は、アストロズがカージナルスの有能な従業員であるジェフ・ルーノーを雇い、ゼネラルマネージャーに任命したことです。彼はカージナルスの従業員を何人か連れて行きました。これが彼らの不和を招きました。どうやら、これがハッカーにとっての足掛かりにもなったようです。タイムズ紙は本日、カージナルスの誰かがアストロズのコンピューターに侵入した際に、元従業員の古いパスワードを使用したと報じました。
「捜査官らは、カージナルス関係者が、ルーノー氏が自分たちのアイデアと野球に関する機密情報をアストロズに持ち込んだのではないかと懸念し、ルーノー氏とアストロズに入団した他の幹部らがカージナルス在籍時に使用していたパスワードのマスターリストを調べたと考えている。法執行当局によると、カージナルス関係者はこれらのパスワードを使ってアストロズのネットワークにアクセスしたとみられる」とタイムズ紙は報じている。
つまり、カージナルスの従業員は、アストロズに勤めていた頃に使っていたパスワードを再利用していたのです。これは皆さんにとって教訓となるでしょう。転職したら、今まで使っていたパスワード作成のテクニックも必ず変えましょう。
それでも、状況は少し特殊です。コンピュータネットワークは、システム管理者でさえもパスワードを復元できないように設計されており、暗号化されています。セキュリティ専門家のハリ・ハースティ氏によると、過去のパスワードを再利用防止のために保存している企業でさえ、パスワードを暗号化してアクセスできないようにしているそうです。少なくとも、それが「ベストプラクティス」です。
その一方で、「パスワードを平文で保存しているおかしな組織はたくさんある」とハースティ氏は言う。
もちろん、他にも可能性はあります。ニューヨーク・タイムズの記事の内容が間違っている可能性もあります。元カージナルスの従業員が、チームのフロントオフィスの同僚とパスワードを共有していた可能性もあります。これは珍しいことではありません。コンピューターのモニターに付箋が残されていたのかもしれません。パスワードは「password」だったのかもしれません。
しかし、ほぼ毎日、ハッキングされる可能性を警告しています。しかも、ハッカーは意外な人物、つまりかつての友人や同僚かもしれません。ですから、パスワードには十分注意してください。そして、転職したら、パスワードの使い方も変えましょう。
