不正ログイン事件の影響が企業システムに及ぶ恐れ、実態調査で浮き彫りに

Webサイトの不正ログイン事件が多発したことを受け、パスワード管理の実態や企業システムへの影響の可能性についてシマンテックが調査を行った。

[國谷武史，ITmedia]

　シマンテックは10月30日、個人や企業のパスワード管理に関する意識調査の結果を発表した。個人のパスワード利用や意識の実態から、同社は企業システムも不正ログインのリスクに晒されていると警鐘を鳴らす。

　調査は今春頃から国内で不正ログイン事件が多発している事態を受け、ネットユーザーや企業のWebサイト管理者のパスワード管理に対する意識を把握する目的で実施された。サンプル数はそれぞれ300件で、Webサイト管理者およびネットユーザーのうち社会人については勤務先の業務システム利用に関する意識も尋ねている。

　ネットユーザーの状況について、まずID・パスワードでログインするWebサイトの数は、「5〜9サイト」が29.3％、「1〜4サイト」が26.3％、「10〜19サイト」が23.7％の順となった。ID・パスワードの管理方法では「記憶している」（55.9％）や「紙などにメモを残す」（35.9％）との回答が多い。記憶可能なパスワードの数では約半数が「2〜3個」と答えた。

　管理に対する意識では回答者の8割以上が「煩雑に感じることがある」とした。パスワードの漏えい被害に自分自身もしくは知人が「実際に遭った」という回答者は10.0％、被害に「遭いそうになった」経験も19.3％に上る。セキュリティ強化から追加認証を要求するWebサイトの利用では57.6％が「不便にならない限りは利用したい」と答えた。

　一方、Webサイト管理者に自社サイトで実施しているユーザー認証の方法を尋ねた結果（複数回答）ではID・パスワードが77.3％、ワンタイムパスワードが24.7％、クライアント証明書が22.7％の順に多かった。

　業務システム利用に関してはWebサイト管理者と社会人のネットユーザーに同じ質問を行い、回答結果を比較している。

質問内容	回答	Webサイト管理者	ネットユーザー
パスワードの流用について	企業用と個人用で使い分ける	61.0％	34.3％
	企業用と個人用で同じものを利用	9.7％	4.4％
	利用していない、意識していない	18.0％	23.0％
	分からない	18.0％	38.2％
パスワードのルールに差があるか	個人用より企業用の方が厳しい	56.3％	18.1％
	差はない	28.7％	27.0％
	分からない	15.0％	54.9％

　以上の結果から、ネットユーザーではパスワード利用を伴うWebサイトの数に対して少ない数のパスワードを記憶やメモ書きで管理している傾向にあり、パスワードを使い回していることがうかがえるという。業務システム利用におけるパスワード管理でもネットユーザーでは個人用と同じものを使う、もしくは業務用途と個人用途の区別をあまり意識していないことも分かった。

シマンテックSSL製品本部 SSLプロダクトマーケティングの安達徹也上席部長

　不正ログイン事件が多発する背景には、過去の不正アクセス事件などで流出したIDやパスワードのうち、有効な組み合わせのリストを別のWebサイトへのログイン試行時に悪用する「パスワードリスト攻撃」が広く使われているためとの指摘がある。

　SSL製品本部 SSLプロダクトマーケティングの安達徹也上席部長は、ネットユーザーが個人用に使っているID・パスワードを勤務先の業務システムで使い回している場合に、第三者が「パスワードリスト攻撃」で業務システムへ不正ログインし、不正に操作したり、機密情報を抜き取ったりする恐れがあると警告する。少なくとも調査結果からは、業務システムがその危険性に晒されている様子がうかがえるという。

　同社ではこうした実態に、例えばワンタイムパスワードも併用して認証を強化する、Webアプリケーションファイアウォールを利用して不正ログインを試みる通信を遮断するなどの多層的なセキュリティ対策の構築をアドバイスしている。