もしかしたら、徳丸さんのパスワードの定期変更は「神話」なのか? - ockeghem's blogというエントリとかを目にしてて、そののちこの事件のことを知ったとしたら「7年間同じ管理者パスワードだった」銀行システムに大非難 | 日経 xTECH（クロステック）、混乱するかも知れませんね。7年間も変更していなかったから盗まれるか推測されるか、あるいは誰かが迂闊にもどこかで入力を見られてしまったとか、あるいはまた退職者が破壊行為を行ったとか、そういう事態に陥ったのではないか、というニュアンスで書かれていますからねえ。
7年も変更しなかったというのが即ちだめだめな運用だったということで責められまくってるようですけど、この会社のことうんとこさ好意的に見て徳丸説＋ダークナイト説（パスワードの定期変更という“不自然なルール” (3/4)：セキュリティ・ダークナイト（6） - ＠IT）のようなポリシーのもと意図して変更していなかったんだとすると、いったい何がまずかったのでしょうか。
あり得る原因ごとに見てみますか。
退職者が悪さをしたんじゃないか説に対しては、まず退職処理としてアカウントの削除がきちんと行われていなかった、ということが想定できますね。さらに、退職者がシステムの管理者で、管理者権限のIDとパスワードを共有して運用していたのだとしたら、まずその運用は氏ね、と言いたい（笑）けど、それもまた退職者が管理者だったときの処理が不適切だったわけで、パスワードを定期的に変更しなかったからではないと思います。退職処理として変更すべきだったのであって、定期的に変更するのを待つような運用にすべきだということではないってことすね。いやー言葉難しい（笑）。
推測されてしまった説に対しては、パスワードの強度が問題だったということでしょうね。では推測ではなく、総当たりでやられたのでは、という向きに対しては強度＋監視の問題だと捉えたいですね。強いパスワードなら推測は容易ではないでしょうし、総当たりでもそれほど速く当たりを出されることもない。3回トライして駄目なら1時間トライできないってな具合のアカウントロック機能とかが備わっていたら、単位時間当たりのトライ数は激減しますしね。逆に言えばそういう仕組みを備えておくべきでしょうし、そうでないのだとしたらそれこそ定期的に変更すべきということでしょう。
では盗まれたとか、あるいはショルダーハックされたという説に対しては？盗まれる原因もいろいろあるでしょうけど、ネットワーク盗聴的なことが原因で盗まれたのだとしたらそれはネットワーク盗聴的なものへの対策が不十分だったってことだし、リモートログインする端末に怪しいブツが仕込まれていたせいで盗まれたのだとしたら怪しいブツ仕込まれる対策が不備だったってことだし、ショルダーハックされちまったんだとしたら、なぜそんなことやられるところでパスワード入力させたんだってことだしねえ。定期的な変更で弱いリスクヘッジはできるかも知れないけど、でも他の課題や問題点にきっちり対策するってのが重要ですよね。そもそもそっちがおそろかだと、他にもいろんなリスクがありますからねえ。