【調査レポート】業務で利用するID・パスワード、個人利用のクラウドサービス登録時に、60％以上のユーザーが勝手に流用

• 概要

 本調査は2020年以降から現在における、新型コロナウイルスが流行している情勢下（通称『コロナ禍』）で、クラウドサービスのアカウント（ID・パスワード）が、業務利用・個人利用の場面で、どのように利用されているか、インターネット上のアンケートを用い、全国500名の会社員・役員・公務員の方に調査したものです。
 
  

• 本レポートサマリ

【1】 2020年のコロナ禍以降、業務利用目的で新規または追加でクラウドサービスを登録したと回答したのは30％。さらに、新規・追加登録したクラウドサービスの数は、1～3つであると90％が回答した。
 
 【2】 【1】で『登録した』と回答した者に、登録したアカウントID・パスワードの実態を調査。
 新たなアカウントIDに、メールアドレスを利用した者は80％以上。また、新たなパスワードに、『既存で利用していたパスワードを流用し登録した』と答えたのは70％以上。流用した理由は『覚えやすいから』が筆頭理由で、個人の利便性を重視した可能性が高いと見られる。
 
 【3】 2020年のコロナ禍以降、個人利用で新規または追加でクラウドサービスを『登録した』と回答した者に、登録したID・パスワードの実態を調査。
 登録したクラウドサービスに、『業務で使うシステムやサービス等のID・パスワードを流用し、登録した』と答えたのは、ID・パスワードそれぞれで60％以上にのぼった。また、『流用した』と答えた割合が比較的高いのは、20代から30代の若年層であった。
 
 【4】 【3】をかんがみるに、組織の管理外であるクラウドサービスが、万一情報を漏えいした場合、組織側で意図せずアカウントが漏洩し、悪用される危険性が高まっていると見える。サイバー攻撃を防ぐには、各人のリテラシー向上や、漏洩時の対応策を講じる等が肝要。
 
  

• レポート内容

 【コロナ禍以降、業務利用で新規・追加登録されたクラウドサービスの概況】
 2020年から広まったコロナ禍以降、新規または追加でクラウドサービスを登録したか尋ねたところ、業務利用目的において30％の者が『新規、または追加登録した』と回答した。また、『コロナ禍以降に新規・追加登録した』と回答した者の90％が、業務利用に1～3つのクラウドサービスを新たに登録したと回答した。
  

  
 【新規・追加登録したクラウドサービスのIDとパスワードについて】
 ここでは、『コロナ禍以降に新規または追加登録したクラウドサービスがある』と回答した者を対象に行った調査を述べる。
 業務利用で登録したクラウドサービスのアカウントIDに、メールアドレスを利用した者は80％にのぼる。また、登録したクラウドサービスのパスワード設定時に、既存で使用していた1つ、もしくは複数のパスワードを流用したと答えたのは、合計75％にのぼった。
  

 さらに、『既存で利用していたパスワードを流用し登録した』と回答した者に、流用した理由を尋ねたところ、筆頭となったのは『覚えやすいから』という理由であり、60％以上の者が回答した。次点で、『新しいID・パスワードが思いつかなかったから』を28.6％の回答者が挙げていることから、業務上の理由でやむを得ず流用したのではなく、個人の利便性を重視して流用した可能性が高いと考えられる。
  

 
 【個人利用のクラウドサービス、コロナ禍で新規・追加登録した6割以上の人が業務利用のID・パスワードを流用】
 ここでは、個人利用において『コロナ禍以降に新規または追加登録したクラウドサービスがある』と回答した者を対象に行った調査を述べる。
 個人で新規・追加登録したクラウドサービスのID・パスワード登録時に、『業務で利用しているシステム・サービス等のID・パスワードを流用して登録した』と答えたのは、ID・パスワード共に60％以上にのぼった。
  

 また、『コロナ禍以降に新規または追加登録したクラウドサービスがある』と回答し、『業務で利用しているシステム・サービス等のID・パスワードを流用して登録した』と回答したかの内訳を年代毎で見ると、『流用した』と答えた割合が比較的高いのは、20代から30代の若年層となる。  
  

 
 【考察】
 調査の結果、2020年のコロナ禍以降、1人当たりのクラウドサービスの新規または追加登録が進んだ様子が見られた一方、既存のアカウント情報を流用する等、セキュリティの不安要素が散見された。
 特に、業務利用のシステム・サービスのアカウント情報が、個人利用で登録したクラウドサービスでも流用されていた結果について言えば、組織管理のセキュリティの外で、意図せずアカウント情報が広まっていたと判断できる。
 こうした管理の甘さには、個々人の利便性を重視し、セキュリティ対策を意識していないリテラシーの低さが根底にあることが、調査から垣間見える。
 また、調査したID・パスワードの流用状況からかんがみるに、自組織へのサイバー攻撃に発展した際の危険性も高まっていると見られる。先述のように、組織のアカウント情報を流用し登録した外部クラウドサービスで、万一顧客情報が流出した場合、取得された情報をもとに、組織のシステムや機密情報へ不正アクセス・なりすまし攻撃が行えうる可能性が考えられる。これらの結果を踏まえると、組織においては、従業員のセキュリティ意識を高める教育や、アカウント情報をはじめとした各種機密の取扱いポリシーの設定・周知を、改めて行う必要があると考えられる。
 さらに、流用されたアカウント情報を悪用された際想定される被害を防ぐため、  万一アカウント情報が流出してしまった際も、その漏洩状況を即座に把握・対処できる体制を整える必要がある。
 
 
 【調査概要】
 ・調査期間：2021年12月2日-12月3日
 ・調査回答者数：500名（20～69歳の各年代100名毎）
 ・調査対象者：日本全国在住の、会社員・役員もしくは経営者・公務員のいずれかで、自組織固有ドメインのメールアドレスを付与されている方
 ・アンケート方法：インターネット調査
 
 以上 
 
  

• 会社・サービス概要／問い合わせ先

■株式会社ソースポッドについて
 ソースポッドは2006年の創業以来、一貫して法人向けメールシステムに特化した事業を展開し、クラウドによるメール無害化対策「SPC Mailホールド」やメール誤送信対策「SPC Mailエスティー」等のメールセキュリティサービスの提供・運用・管理に10年以上携わってまいりました。今では中央官庁や地方自治体、大手金融機関をはじめとする企業、大学などの教育機関といった多くのお客様にサービスを提供しております。また、サイバーセキュリティサービスとして、OSINTによる漏洩情報検知サービス「SPC Leak Detection」と、【本当に効果のある】標的型メール訓練サービス「SPC 標的型メール訓練」を提供しております。
 https://www.source-pod.co.jp/
 
 ■「SPC Leak Detection」について
 OSINTによる漏洩情報検知サービス「SPC Leak Detection」の詳細については、下記を参照ください。
 https://www.source-pod.co.jp/lp/ld/
 
 ■本リリースに関するお問い合わせ
 株式会社ソースポッド
 事業開発部
 https://www.source-pod.co.jp/lp/ld/
 TEL:03-5213-4842