今すぐ実践したいパスワードリスト攻撃への備え
オンラインサービスへの不正ログイン事件が後を絶たない。実態調査をもとにIPAがおすすめしている対策をまとめてみた。
2013年頃から後を絶たない不正ログイン攻撃などについて、情報処理推進機構(IPA)は2013年11月〜2014年4月に「オンライン本人認証方式の実態調査」を行い、その結果を8月5日に公表した。この調査ではユーザーやサービス提供者の現状から様々な課題を指摘しているが、特に実施が急がれる対応策も提起しているので紹介したい。
ユーザーがやるべきこと
- IDやパスワードを使い回さない
- 強いパスワードにする
- 適切に管理する
不正ログイン攻撃が横行する理由の1つに、ユーザーによる「IDやパスワードの使い回し」が挙げられている。IPAの実態調査でも回答者(2060件)の半数以上がパスワードを使い回している状況が明らかになった。ユーザーが不正ログイン攻撃の被害から身を守るには、まず面倒でもサービスごとに異なるIDやパスワードを設定することが一番早いといえる。
| 利用状況 | 金銭関連サイト利用の場合 | 個人的情報関連サイト利用の場合 | その他サイト利用の場合 |
|---|---|---|---|
| 金銭関連サイトと同一のパスワードを利用 | 25.4% | 19.7% | 17.6% |
| 個人的情報関連サイトと同一のパスワードを利用 | 13.9% | 25.6% | 20.7% |
| その他サイトと同一のパスワードを利用 | 12.9% | 23.3% | 28.8% |
| 同一のパスワードは利用していない | 43.3% | 32.0% | 30.4% |
| 複数のサービスサイトを利用していない | 14.9% | 11.8% | 13.9% |
2つ目の「強いパスワード」は、「8桁以上」「大・小文字の英字と数字、記号の組み合わせ」「推測されにくい文字列」が推奨される。パスワード作成時に安全性を高めるために必要な点として回答者が挙げた割合は、「8桁以上」が67.2%、「大・小文字の英字と数字、記号の組み合わせ」が74.2%、「推測されにくい文字列」が70.3%だった。ただし、PCサイト(調査対象133サイト)の69%ではパスワード設定に使えるのが「半角英数のみ」であり、IPAは強いパスワードを設定できないWebサイトやサービスの利用を見直すこともアドバイスしている。
サービスごとに異なる、強いパスワードを設定するのと併せて求められるのが「適切に管理する」こと。これを面倒だと感じるユーザーは少なくないようだ。IPAでは以下のパスワード管理方法について注意点を解説している。
| 方法 | 留意点 |
|---|---|
| メモ帳などで管理 | (1)第三者に見られないように保管場所を検討する、(2)紛失や置き忘れ対策を検討する |
| PCなどにファイル保存 | (1)PCに保存する場合は暗号化する、(2)異なる端末で利用する場合は保存ファイルの共有方法を検討する、(3)PC共有時に注意する |
| Webブラウザに保存 | (1)一部のWebブラウザではアカウント登録でID・パスワードを共有する必要がない一方、意図しないアカウント登録やサービス利用を増やす可能性がある、(2)パスワード管理の権限設定や管理手順など事前に把握しておく、(3)PC共有時に注意する、(4)サポート終了やアップデートなどの状況を常に把握しておく、(5)クラウドに保存するタイプでは情報漏えいが懸念される |
| パスワード管理ツール | 購入やインストールなどの場合もある、(2)Webブラウザの拡張機能や個別製品がある、(3)共有機能が提供されている場合は利用環境に合わせて選択する、(4)PC共有時に注意する、(5)サポート終了やアップデートなどの状況を常に把握しておく、(6)偽の製品でないかを調べる、(7)クラウドに保存するタイプでは情報漏えいなどへの対策を確認する |
IPAのアドバイスでは上述した3つの点を実施していることを前提に、「パスワードを定期的に変更する」「数世代前に使用したパスワードを再利用しない」「利用していないアカウントを削除する」も望ましいとのこと。さらに、「ID・パスワード以外の認証方式を併用しているサービスの利用」「ID連携を採用しているサービスの利用」も検討してみてはどうだろうか。
サービス提供者の対応
ユーザーの実態調査からIPAは、サービス提供者側に「少なくともパスワードの最低文字数を8文字以上とすること、また文字種を増やすこと」を呼び掛け、Webサイトで扱う情報やサービスに対するリスクを分析し、適切な認証手段を提供することが必要だとしている。
ID・パスワード以外の認証方式について、金銭に関連する情報やサービスを取り扱う金融では導入率が高いものの、それ以外の割合は低い状況だった。
| 業界 | ID・パスワード | 第二認証 | 秘密の質問 | CAPTCHA | マトリクス・乱数表 | OTP | OTP(スマートフォン) | 複数要素OTP |
|---|---|---|---|---|---|---|---|---|
| 金融 | 34 | 17 | 1 | 0 | 9 | 18 | 14 | 0 |
| 通販・物販購入 | 26 | 0 | 0 | 2 | 0 | 0 | 0 | 0 |
| オンラインゲーム | 9 | 0 | 1 | 2 | 0 | 2 | 1 | 1 |
| 交通・運輸・旅行 | 22 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 学習・教育・就職 | 3 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| ポータルサイト | 8 | 1 | 3 | 0 | 0 | 1 | 3 | 0 |
| 情報通信・提供 | 25 | 1 | 1 | 1 | 0 | 0 | 1 | 0 |
| 通信・放送・報道 | 6 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 合計 | 133 | 19 | 6 | 5 | 9 | 21 | 19 | 1 |
これはID・パスワード以外の認証方式を提供することで、「ユーザーの利用率が低下してしまうかもしれない(ビジネスへの影響)」という懸念が背景にあるためだ。認証強化に投資が伴う以上、サービス提供者には「ユーザー(顧客)の安全性確保」と「ビジネスメリット」のバランスという難しい課題が常につきまとう。
ショッピングサイトを例にユーザーへ許容できる範囲を訪ねた質問でも、71.8%が「8文字以上のパスワード」、49.1%が「英字と数字、記号が組み合わさった文字列」を挙げる一方、「12文字以上のパスワード」は24.5%、「複数のパスワード」は14.6%、「ID・パスワード以外の認証」は14.2%、「ID・パスワードと生体認証などその他方式の組み合わせ」は6.2%にとどまる。
この結果からユーザーが許容できる認証方式は、「8文字以上12文字未満の桁数」「英字と数字、記号が組み合わさった文字列」のパスワードが現実解であるようだ。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
ITmediaはアイティメディア株式会社の登録商標です。