他のデータや漏洩と結びつくと危険が一段と増す
パスワードにサッカー情報を使う問題は、ほかのデータと組み合わさるとさらに深刻になる。例えば人々は、どのクラブを応援しているかをSNSで誇示しがちであり、それがハッカーにとって選択肢の絞り込みにつながる。
データ漏洩もまた、サイバー犯罪者に別の機会を与える。ファウラーは調査の一環として、スペインの大手サッカークラブに関連する公開状態のデータベースを発見した。そこには2万2000人超の氏名やメールアドレスといった個人データが含まれていた。
そのメールアドレスには、選手名の使用(例:leo.messi.xxxx@example.com)など、追加の手がかりが含まれる場合もある。そうなれば、ハッカーが総当たり(ブルートフォース)でパスワードにたどり着くのははるかに容易になる。
その人々がどのクラブを応援しているかを知っているだけでも、別種の攻撃に対して脆弱になりうる。ファウラーによれば、詐欺師は偽のチケットやユニフォームの注文をかたり、リンクをクリックさせて端末にマルウェアをダウンロードさせる手口を使う。「サッカー関連の文書が、保護されないまま公開状態でインターネット上にどれほど漂っているのか、その多さには本当に驚いた」と彼は語った。
ファウラーによると、スペインのサッカークラブから漏洩したデータベース(現在はオフライン)を、こうした情報を探す検索を5回行っただけで見つけたという。「私が見つけられたのなら、悪い連中も見つけられる」と彼は語る。「大きなスポーツイベントにつきものの数々の詐欺を考えれば、実在するファンの本物のメールアドレスのリストが、いわば『使える』状態でそろっているわけだ」。
専門家はパスワードマネージャーの利用を勧める
ファウラーによれば、サッカーファンが覚えやすい選手名やクラブ名をパスワードに詰め込むのは、現代生活で必要になる無数のパスワードを覚えきれないからにほかならない。「だから私はパスワードマネージャーを強く勧める」と彼は語る。「複数のアカウントに対して複雑なパスワードと認証情報を持つには、本当にそれしかない」。
