Teratailの以下の質問に回答しました。
Webサービスに安易なパスワードを設定している場合、パスワードクラックなどでパスワードが割り出され不正アクセスされる可能性があります。
この場合、簡易なパスワードを設定しているユーザにも責任があると思うのですが、Webサービス側にも責任は問われるのでしょうか?
セキュリティー - パスワードが推測されて不正アクセスされた場合の責任について|teratail より引用
以下、徳丸の回答です。備忘のため、こちらに転載します。
結論から言うと、サービスの性質により変わります。
一般的にパスワード認証は、認証の責任を利用者とサービスがわけあっていると考えられます。
パスワード認証というのは、「利用者しか知らない文字列」を使うことで認証しているわけですから、利用者には「他の人が知らないはずの文字列」をパスワードとして設定する責務があります。
一方、「別のパスワードでもログインできてしまった」とか、「安全なパスワードをつけたいのに4文字数字のパスワードしかつけられない」場合はサービス側の責任になります。そのような例は過去にありました。
当時、JALは数字6桁、ANAは数字4桁の「パスワード」の設定になっていたため、それでは不正ログインされるだろうとサービス側が批判されました。
一方、よく芸能人が安易なパスワードをつけていてプライベートな記事や画像を閲覧されてしまったという事件が報道されますが、サービス側(Instagram等)に責任を問う声はあまり聞かれません。
以下はパスワードを盗み見された事件ですが、これはどんなに複雑なパスワードをつけていても駄目ですね。
これは盗み見したやつが悪いことは間違いないですが、「盗み見されるような管理をする利用者にも問題がある」と思う人が多いと思います。
ここまでは、「伝統的なパスワード認証の考え方」です。
しかし、さまざまなサービス、とくにお金が絡むサービスを多くの人が使うようになってきて、「安易なパスワードをつける方が悪い」とは言いにくくなってきました。この線で私が注目するのは、SBI証券の事件です。
ネット証券最大手のSBI証券は16日、顧客6人の証券口座から9864万円が不正に流出したと発表した。第三者が口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に開設されていた本人名義の偽の口座に送金していたという。SBI証券は警察に被害を届け出ており、顧客の損害は全額補償する方針。
発表によると、何者かがパスワードを含む顧客情報を何らかの方法で入手。7~9月上旬に証券口座に不正アクセスし、口座内の有価証券を売却して、銀行口座へ送金していた。送金先は、ゆうちょ銀の5口座と三菱UFJ銀の1口座で、いずれも証券口座の顧客と同一名義だが、第三者が不正に開いたものだった。お金はすでに引き出されていた。口座開設時は、偽造した保険証などの本人確認書類が使われていたという。
顧客から7日、「身に覚えのない取引があった」と通報があり、発覚。証券口座の不正アクセスについて、SBI証券は社内システムに侵入された形跡はないとし、「リスト型アカウントハッキング」と呼ばれる手口だったとみている。
この手口は、別のサイトなどから過去に流出したIDやパスワードで様々なサイトへのログインを試みるもの。同じIDやパスワードを使っている人が被害に遭いやすい。SBI証券のIDは、利用者が自由に設定できたため、狙われた可能性がある。
他のサイトから流出したパスワードが使われていて、すなわち利用者は「パスワードの使い回し」をしていたと推測されています。伝統的なパスワード認証の考え方だとSBI証券に非はないのですが、それでも1億円近い被害を補償するとのことで、私は驚きました。
一方で、現在でも、芸能人等がパスワードを推測され不正ログインされても、「安易なパスワードをつけるのが悪い」となります。
すなわち、サービスの扱う情報や資産に応じて、「安易なパスワードに対する責任」の分担度合いが変わることになります。現在、まさに、その変化が起こっている最中であると私は思います。