情報漏えい発覚後にパスワードを変更しない人が多数の可能性--カーネギーメロン大調査

　情報漏えいが発覚した後も多くの人がパスワードの変更を真剣に考えていないことが、最近の研究で明らかになった。カーネギーメロン大学のSecurity and Privacy Institute（CyLab）が先ごろ発表した研究によると、情報漏えいが明らかになった後、影響を受けたアカウントのパスワードを変更するユーザーの割合はおおむね3分の1ほどにとどまるという。

提供：Angela Lang/CNET

　今回の研究では、同校で学術調査を支援する目的でブラウザーの使用履歴などを共有することに同意しているユーザーグループ、Security Behavior Observatory（SBO）参加者のセキュリティ慣行を分析している。2017年1月～2018年12月まで、参加者249人のコンピューターからデータが収集された。

　249人のうち63人は、調査期間中に情報漏えいが公表されたドメインにアカウントを持っていた。63人のうち、漏えいが起きたサイトにアクセスしてパスワードを変更したのは21人にとどまった。さらに、漏えいの発表から3カ月以内に変更したのはその中の15人だけだった。

　SBOに収集されるデータにはパスワードの情報も含まれていたため、CyLabチームは新しく設定されたパスワードの強度についても分析した。その結果、パスワードを変更した人でも、新しいパスワードが変更前より弱い場合が多かったことが判明した。