2013年08月14日
サマリー
ここのところ、パスワードリスト攻撃によるとみられる不正ログインが多い。パスワードリスト攻撃とは、何らかの方法で入手したIDとパスワードの組み合わせリストをもとに、別のWebサイトのサービスにログインを試みることである。図表1の各社は、利用者に対してパスワードの再設定を依頼しているが、その際、他社サービスとは異なるパスワードで設定するよう注記している。利用者からの「ログインできない」という問い合わせや、大量のログインエラーがあることに気づいたことが調査のきっかけになった模様である。正常なログインと区別がつきにくいこと、悪用されているID・パスワードリストが万単位とみられることなどから、まだ気づいていないだけで、すでに攻撃を受けているWebサイトが今後も出てくる可能性がある。

パスワードは、誕生日などから推測されにくく、記号などを組み合わせて複雑にし、長いものほど良いとされている。IPA(独立行政法人情報処理推進機構)の「2012年度情報セキュリティの脅威に対する意識調査 報告書」(2012年12月)によると、情報セキュリティ意識が高いと思われるパソコン習熟度最上級レベルほど、こうしたルールに則って設定している割合が多い(図表2)。しかし、パスワードリスト攻撃の場合、どんなに複雑で長いパスワードであっても、同じパスワードを使っていればログインできてしまう。これに対抗するには「サービス毎に異なるパスワードを設定する」必要があるが、最上級レベルでも約3割しか実行していない。

「使い回し」が行われるのは、ID・パスワードがたくさんありすぎて管理しきれない、という実情がある。トレンドマイクロが2012年12月に公開した「Webサイトのパスワード利用実態調査」によると、一人あたり約14個(標準偏差)のWebサイトを利用しており、約7割が3種類以下のパスワードを複数のWebサイトで使い回しているという。
「パスワードの使い回しをやめる(※1)」ことが理想ではあるが、サービス毎に異なるパスワードを人間が記憶するのは非現実的(※2)であり、「IDとパスワードによる管理は限界にきている」と指摘する情報セキュリティ識者は少なくない。
この調査では「あなたが普段、アクセス・利用しているサイトで、ID/パスワードでのログインが求められるWebサイト」を選択させているので、あまり使わないWebサイトも含めるともっと多くのID・パスワードを管理している可能性もある。使用頻度の低いWebサイトで、情報漏えいや不正ログインがあっても利用者は気づきにくいだろう。Webサイトの必要性を見直し、思い切って使用頻度の低いものは退会(解約)することも自衛手段になると思われる(※3)。また全てのパスワードを別々に設定することは難しくても、せめて重要度(金銭取引の有無、登録する個人情報の重要度別など)に分けて設定することが望ましい。
一方、Webサイト管理者には「IDの持つ役割を分離する」対策を求める指摘がある。情報セキュリティソリューションを提供する株式会社ラックの取締役である西本逸郎氏(※4)は、「公開IDで認証を行っていた電子掲示板サイトの場合、電子掲示板上で書き込みを行った利用者のニックネームを収集すれば、それをログイン試行攻撃などに利用できる。メールアドレスを認証に利用するサイトも同様にリスクは大きい」としている。そのため、「掲示板に表示するニックネームやハンドルネームのような『公開ID』(中略)ログイン時にのみ利用して他人には知らせない『認証専用ID』(中略)サイト管理者が分析に利用する『分析専用ID』(後略)」という「ユーザーIDが持つ三つの役割を分離して3種類のIDを用意する必要がある」と述べている。
まずは、利用者もWebサイト管理者も、ID・パスワードの「棚卸しと適切な分別」が求められる。
(※1) IPA(独立行政法人情報処理推進機構) 2013年8月の呼びかけ 第13-30-297号 掲載日:2013年8月1日 「『全てのインターネットサービスで異なるパスワードを!』~多くのパスワードを安全に管理するための具体策~」
(※2)複数のID・パスワードを管理するソフトもあるが広まっていない
(※3) ただし、退会しても、すぐにIDなどの情報が削除されるとは限らない。
(※4) ITPro 「最新サイバー攻撃に備える」の2013/08/08「ユーザーIDの役割を分離する」(出典:日経コンピュータ 2013年6月27日号pp.122-123)
このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。
執筆者のおすすめレポート
同じカテゴリの最新レポート
-
機械学習による有価証券報告書(2025年3月期)の人的資本開示の可視化
経営戦略と人事戦略の連動や、指標及び目標の設定に課題
2025年08月01日
-
サステナビリティWGの中間論点整理の公表
2027年3月期から順に有価証券報告書でのサステナビリティ開示拡充
2025年07月28日
-
カーボンクレジット市場の新たな規律と不確実性
VCMI登場後の市場と、企業に求められる戦略の頑健性
2025年07月24日
最新のレポート・コラム
よく読まれているリサーチレポート
-
2025年度の最低賃金は1,100円超へ
6%程度の引き上げが目安か/欧州型目標の扱いや地方での議論も注目
2025年07月16日
-
のれんの償却・非償却に関する議論の展望
2025年07月07日
-
日本経済見通し:2025年7月
25年の賃上げは「広がり」の面でも改善/最低賃金の目安は6%程度か
2025年07月22日
-
対日相互関税率は15%で決着へ-実質GDPへの影響は短期で▲0.5%、中期で▲1.2%-
相互関税以外の関税措置も含めると実質GDPは中期で3.2%減少
2025年07月23日
-
新たな相互関税率の適用で日本の実質GDPは短期で0.8%、中期で1.9%減少
相互関税以外の関税措置も含めると実質GDPは中期で3.7%減少
2025年07月08日
2025年度の最低賃金は1,100円超へ
6%程度の引き上げが目安か/欧州型目標の扱いや地方での議論も注目
2025年07月16日
のれんの償却・非償却に関する議論の展望
2025年07月07日
日本経済見通し:2025年7月
25年の賃上げは「広がり」の面でも改善/最低賃金の目安は6%程度か
2025年07月22日
対日相互関税率は15%で決着へ-実質GDPへの影響は短期で▲0.5%、中期で▲1.2%-
相互関税以外の関税措置も含めると実質GDPは中期で3.2%減少
2025年07月23日
新たな相互関税率の適用で日本の実質GDPは短期で0.8%、中期で1.9%減少
相互関税以外の関税措置も含めると実質GDPは中期で3.7%減少
2025年07月08日