パスワードを保護する方法、IPAが推奨策を紹介

IPAは、コンピュータ利用者のIDやパスワードを盗み出す攻撃に備えるための方法を紹介している。頻繁に変更するなどの基本的対策に加え、オンラインサービスの活用も望ましいという。

[ITmedia]

　情報処理推進機構（IPA）は、このほど2月のコンピュータウイルス・不正アクセスの届出状況を公表し、コンピュータ利用者に向けたパスワード保護の推奨策などを紹介した。IDやパスワードを盗み出すサイバー攻撃が広がり、適切に管理するよう呼び掛けている。

　近年はオンラインバンキングなど金銭につながるIDやパスワードを狙う攻撃が一般的になり、また、2009年ごろからはWebサイトを改ざんする狙いで管理用ID・パスワードの不正入手を狙う攻撃も増えた。IPAによると、IDやとパスワードの盗難に関する相談ではウイルス感染やフィッシング詐欺、ソーシャルエンジニアリングといった巧妙な手法で盗まれてしまうケースが目立っている。

　IDとパスワードのみの本人確認は、コンピュータ利用における基本的な手段の1つだが、完全な仕組みではない。例えばIDが連番で付与されているケースや、メールアドレスをそのままIDにしているケースは、第三者にIDを簡単に知られてしまう可能性が高い。また、数字だけといった単純なパスワードは攻撃者が推測しやすく、辞書に載っているような単語でも「辞書攻撃」というデータベースを悪用した方法で簡単に破られてしまう可能性がある。

　IPAが推奨するパスワード保護の方法では、まずパスワードを作成する際に、名前や辞書に載っているような単語を避け、英字（大文字、小文字）・数字・記号など使用できる文字種すべてを組み合わせ、8文字以上にする。複数のオンラインサービスを利用している場合は、同じパスワードを使い回しせず、異なるパスワードを使う。同じパスワードを長期間使用せず、変更することなどを挙げている。

IPAが推奨するパスワードの作成方法

　また、インターネットカフェなどの利用者の管理下にない端末でIDやパスワードを入力することも極力避けるべきだという。IDやパスワードを盗み出すマルウェアに感染しないようウイルス対策ソフトを常に最新の状態にする。フィッシング詐欺やソーシャルエンジニアリングなど利用者をだましてIDとパスワードを入手しようとする攻撃では、不審な問い掛けに対して情報を提供しない。

　このほか、オンラインサービス事業者が提供する、ログイン履歴が確認できるサービスや、不正ログインをユーザーに通知するサービス、ワンタイムパスワードのサービスなども有効だとしている。

　なお、IPAでは利用者側で対策を実施していても、サービス提供者側が攻撃を受けてIDやパスワードが盗まれる恐れがあるとも摘。特にクレジットカード情報は金銭的被害に直結する恐れが高く、身に覚えのない請求などに気付いた場合は、直ちにクレジットカード会社やサービス事業者に不当な請求であることを報告して対応を求め、消費生活センターに相談することも有効だとアドバイスしている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら