Microsoft、安易なパスワードを使用禁止 攻撃にも対抗措置
「Microsoft Account」でユーザーが安易なパスワードを入力しようとすると、リセット画面が表示されて「推測されにくいパスワードを選んでください」と促される。
ビジネスSNS「LinkedIn」から会員のパスワードが流出してネットで出回るなど、ユーザー情報の大量流出被害が後を絶たない。それでも安易なパスワードを使い続けるユーザーが一向に減らないことから、米Microsoftは「Microsoft Account」などのサービスで、安易なパスワードを使えなくする措置を講じていることを明らかにした。
LinkedInの情報流出事件でも、「123456」などの安易なパスワードが多様されていた実態が伝えられている。攻撃側はこうした情報を分析して使用頻度の高いパスワードを洗い出し、その情報を使って総当たり式の「ブルートフォース攻撃」を仕掛けるなどしてパスワードを破ろうとする。
Microsoftのサービスでは1日当たり1000万以上のアカウントがそうした攻撃を受けているという。そこで同社はどのようなパスワードが狙われているのかを分析し、当座の攻撃対象になっていると思われるパスワードをMicrosoft Accountなどで使えないようにする対抗措置を打ち出した。禁止パスワードのリストは動的に更新しているという。
この措置は、OutlookやXbox、OneDriveなどのログオンに使われているMicrosoft Accountのサービスには実装済み。また、「Azure Active Directory」(Azure AD)ではプライベートプレビュー段階にあり、数カ月中に正式導入を予定している。
ユーザーが安易なパスワードを入力しようとすると、パスワードのリセット画面が表示され、「推測されにくいパスワードを選んでください」と促される。
Microsoftは同社のサービスに対して仕掛けられたパスワード破り攻撃の実態を分析し、それに基づき被害を防ぐための対策を提言した報告書も公開している。
関連記事
- 第28回 「続けてパスワード送付」欧米でまったく使われないワケ
「解凍パスワードは別メールで送ります」ってことありますよね。実はこれ、日本のみのガラパゴスルールなのだそうです。欧米ではどんな考え方で、どのように対策しているのでしょう。 - LinkedInの2012年の情報流出、新たに1億1700万人のパスワードが闇市場で流通
2012年の事件で流出したLinkedInのユーザー約1億1700万人の電子メールとパスワードを含むアカウント情報が、闇市場で新たに売りに出されたという。 - わが家の「パスワード管理ソフト」導入記
家族に提案したら、「そんなところに預けられません!」という返事がありました……。それを乗り越えていけそうな“手がかり”もご紹介します。 - パスワード管理のLastPass、フィッシング攻撃でパスワード流出の恐れ
LastPassのマスターパスワードを盗み出し、保存された全パスワードなどの情報にアクセスできる攻撃の手口をセキュリティ研究者が発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.