ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

不正ログイン「受けたことがある」3割、パスワードハッシュ化「していない」4割 総務省のWebサービス企業調査

» 2015年07月31日 13時15分 公開
[ITmedia]

 総務省はこのほど、Webサービスを提供する企業のID・パスワード管理・運用実態について調査した結果を発表した。回答した28社のうち約3割が不正ログインの被害を受けていたほか、約4割がパスワードのハッシュ化をしていないという結果だ。

 調査は2〜3月にかけ、200弱の企業にWebアンケートで依頼し、協力を得られた28社(金融、通販、オンラインゲーム、情報配信企業など)からの回答を集計した。匿名アンケートだったが、パスワードの管理方法など機微な情報に関する調査だったため回答を控える企業が多かったという。

画像

 不正ログインの被害を受けたことがある企業は32%。有料サービスを提供している企業(全回答企業の64%)のみに限定すると、不正ログインの被害経験は50%に上った。

画像

 ユーザーが設定可能なパスワードの最小文字列長は8けた以上が54%だったが、4けた以下の企業も14%あった。パスワード保管時に暗号化している企業は71.5%、ハッシュ化は57.2%が行っていた。ハッシュ化は有料サービスを提供企業の72%が実施しているのに対し、無料のみのサービスは30%にとどまった。

画像

 ハッシュ化を行っている企業に、ハッシュ化前のパスワードに文字列を追加するソルトと、ハッシュ化を繰り返すストレッチングを行っているか聞いたところ、50%がソルト・ストレッチングいずれかを行っており、ソルトの実施率が44%、ストレッチングが25%だった。

 同一IDに対するログイン試行回数の制限は82%の企業が導入している一方、同一IPアドレスからのログイン試行回数の制限を実施している企業は43%にとどまった。

 2段階認証を導入している企業は43%。通常と異なるIPアドレスやタイムゾーンからのログインなどを検知するリスクベース認証は25%(7社)が導入していた。リスクベース認証を導入した7社のうち5社が2段階認証も導入しており、リスクベース認証で疑わしいログインに対して、2段階認証を求めるといった形で利用されている。

Copyright © ITmedia, Inc. All Rights Reserved.