最近流出した何千件ものHotmailユーザーのアカウントデータ(Gmailも影響を受けている)は、手順で誤りが生じたフィッシング詐欺キャンペーンから入手されたもののようだが、またしてもユーザーに使いやすいエコシステムと悪いパスワード管理の慣行の問題が不可分であることが明らかになった。
AcunetixのBogdan Calin氏が公表した1万件のパスワードの統計的な分析結果によれば、フィッシング詐欺を受けたユーザーの42%が小文字アルファベット(aからz)だけのパスワードを使っており、全体の22%が6文字のパスワード(Live.comの許している下限)を、それに続き21%のユーザーが8文字のパスワードを使っていた。
もっともよく使われていたパスワードのトップ10は、次の通りだ。
- 123456 - 64
- 123456789 - 18
- alejandra - 11
- 111111 - 10
- alberto - 9
- tequiero - 9
- alejandro - 9
- 12345678 - 9
- 1234567 - 8
- estrella - 7
大量の電子メールアカウントに対して総当たり攻撃を行う手法は、新規アカウントを登録するという、はるかに効率的で自動的なアプローチに取って代わられたが、影響を受けたユーザーが脆弱なパスワード管理しか行っていないことと、ユーザーが同じパスワードを他のサービスでも共通して使っているという事実を組み合わせると、この単純な事実を知っているサイバー犯罪者は、好ましくない連鎖反応を作り出すことができることになる。
(関係する記事も参照して欲しい:Gmail, Yahoo and Hotmail’s CAPTCHA broken by spammers、Spammers attacking Microsoft’s CAPTCHA ? again、Microsoft’s CAPTCHA successfully broken、Lack of phishing attacks data sharing puts $300M at stake annually、Online broker CommSec criticised for weak passwords, lack of SSL、パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに、Comcast responds to passwords leak on Scribd)
オンラインでの総当たり攻撃に対して、パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば、フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし、さらに悪いことにエンドユーザーがマルウェアに感染してしまえば、サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは、彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで、使われているすべてのサービスへのアクセスを許してしまうことだ。
Hotmailでは、ユーザーはパスワードが72日ごとに期限切れになるオプションを設定することができるが、MicrosoftはそろそろGmailのように、ユーザーに対して「最近のアカウント利用履歴」機能を提供するべき時期ではないだろうか。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
