#三井住友カード が定期的なパスワードの変更を要求してきた

クレジットカードのイシュアである三井住友カードが、オンラインでのカージ利用状況を見ようとしてアクセスしたときに、定期的なパスワードの変更を求めてきたので、以下のような問い合わせをしてみた。

なぜパスワードの変更を求めるのですか？　政府のセキュリティ基準では定期的なパスワードの変更を、かえってセキュリティの程度を下げるので推奨しないとなってますよ

これを、最初にAIが答えてくれるという触れ込みのチャット画面みたいなのに書き込んだら、バカAIがパスワードの変更方法のページを案内してきよった。

人工無脳も良いところではないか。

そこで、お問い合わせフォームに上記のコピペを貼り付けたところ、今度は

このたびは、お問い合わせ頂きありがとうございます。

お問い合わせの内容によっては、回答に時間がかかる場合がございますので、予めご了承ください。

なお、このメールアドレスは送信専用です。
返信はできませんので、ご了承ください。

という自動応答メールが返ってきた。さて、本当の返信はいつ来るであろうか？

ちなみに備忘録として、「政府」見解を以下の貼り付けておこう。

総務省:設定と管理のあり方

パスワードを複数のサービスで使い回さない（定期的な変更は不要）

またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。