編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

フィッシング詐欺のデータ流出:脆弱なパスワードが多いことが明らかに

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-10-07 08:22

 最近流出した何千件ものHotmailユーザーのアカウントデータ(Gmailも影響を受けている)は、手順で誤りが生じたフィッシング詐欺キャンペーンから入手されたもののようだが、またしてもユーザーに使いやすいエコシステム悪いパスワード管理の慣行の問題が不可分であることが明らかになった。

 AcunetixのBogdan Calin氏が公表した1万件のパスワードの統計的な分析結果によれば、フィッシング詐欺を受けたユーザーの42%が小文字アルファベット(aからz)だけのパスワードを使っており、全体の22%が6文字のパスワード(Live.comの許している下限)を、それに続き21%のユーザーが8文字のパスワードを使っていた。

 もっともよく使われていたパスワードのトップ10は、次の通りだ。

- 123456 - 64
- 123456789 - 18
- alejandra - 11
- 111111 - 10
- alberto - 9
- tequiero - 9
- alejandro - 9
- 12345678 - 9
- 1234567 - 8
- estrella - 7

 大量の電子メールアカウントに対して総当たり攻撃を行う手法は、新規アカウントを登録するという、はるかに効率的で自動的なアプローチに取って代わられたが、影響を受けたユーザーが脆弱なパスワード管理しか行っていないことと、ユーザーが同じパスワード他のサービスでも共通して使っているという事実を組み合わせると、この単純な事実を知っているサイバー犯罪者は、好ましくない連鎖反応を作り出すことができることになる。

(関係する記事も参照して欲しい:Gmail, Yahoo and Hotmail’s CAPTCHA broken by spammersSpammers attacking Microsoft’s CAPTCHA ? againMicrosoft’s CAPTCHA successfully brokenLack of phishing attacks data sharing puts $300M at stake annuallyOnline broker CommSec criticised for weak passwords, lack of SSLパスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかにComcast responds to passwords leak on Scribd

 オンラインでの総当たり攻撃に対して、パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば、フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし、さらに悪いことにエンドユーザーがマルウェアに感染してしまえば、サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは、彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで、使われているすべてのサービスへのアクセスを許してしまうことだ。

 Hotmailでは、ユーザーはパスワードが72日ごとに期限切れになるオプションを設定することができるが、MicrosoftはそろそろGmailのように、ユーザーに対して「最近のアカウント利用履歴」機能を提供するべき時期ではないだろうか。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]