ニュース
» 2016年05月27日 07時55分 UPDATE

Microsoft、安易なパスワードを使用禁止 攻撃にも対抗措置

「Microsoft Account」でユーザーが安易なパスワードを入力しようとすると、リセット画面が表示されて「推測されにくいパスワードを選んでください」と促される。

[鈴木聖子,ITmedia]

 ビジネスSNS「LinkedIn」から会員のパスワードが流出してネットで出回るなど、ユーザー情報の大量流出被害が後を絶たない。それでも安易なパスワードを使い続けるユーザーが一向に減らないことから、米Microsoftは「Microsoft Account」などのサービスで、安易なパスワードを使えなくする措置を講じていることを明らかにした。

 LinkedInの情報流出事件でも、「123456」などの安易なパスワードが多様されていた実態が伝えられている。攻撃側はこうした情報を分析して使用頻度の高いパスワードを洗い出し、その情報を使って総当たり式の「ブルートフォース攻撃」を仕掛けるなどしてパスワードを破ろうとする。

 Microsoftのサービスでは1日当たり1000万以上のアカウントがそうした攻撃を受けているという。そこで同社はどのようなパスワードが狙われているのかを分析し、当座の攻撃対象になっていると思われるパスワードをMicrosoft Accountなどで使えないようにする対抗措置を打ち出した。禁止パスワードのリストは動的に更新しているという。

テスト中のパスワード設定画面(Microsoftより)

 この措置は、OutlookやXbox、OneDriveなどのログオンに使われているMicrosoft Accountのサービスには実装済み。また、「Azure Active Directory」(Azure AD)ではプライベートプレビュー段階にあり、数カ月中に正式導入を予定している。

 ユーザーが安易なパスワードを入力しようとすると、パスワードのリセット画面が表示され、「推測されにくいパスワードを選んでください」と促される。

パスワードの再設定画面(同)

 Microsoftは同社のサービスに対して仕掛けられたパスワード破り攻撃の実態を分析し、それに基づき被害を防ぐための対策を提言した報告書も公開している。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -