フィッシング詐欺のデータ流出:脆弱なパスワードが多いことが明らかに

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009年10月07日 08時22分

  • このエントリーをはてなブックマークに追加

 最近流出した何千件ものHotmailユーザーのアカウントデータ(Gmailも影響を受けている)は、手順で誤りが生じたフィッシング詐欺キャンペーンから入手されたもののようだが、またしてもユーザーに使いやすいエコシステム悪いパスワード管理の慣行の問題が不可分であることが明らかになった。

 AcunetixのBogdan Calin氏が公表した1万件のパスワードの統計的な分析結果によれば、フィッシング詐欺を受けたユーザーの42%が小文字アルファベット(aからz)だけのパスワードを使っており、全体の22%が6文字のパスワード(Live.comの許している下限)を、それに続き21%のユーザーが8文字のパスワードを使っていた。

 もっともよく使われていたパスワードのトップ10は、次の通りだ。

- 123456 - 64
- 123456789 - 18
- alejandra - 11
- 111111 - 10
- alberto - 9
- tequiero - 9
- alejandro - 9
- 12345678 - 9
- 1234567 - 8
- estrella - 7

 大量の電子メールアカウントに対して総当たり攻撃を行う手法は、新規アカウントを登録するという、はるかに効率的で自動的なアプローチに取って代わられたが、影響を受けたユーザーが脆弱なパスワード管理しか行っていないことと、ユーザーが同じパスワード他のサービスでも共通して使っているという事実を組み合わせると、この単純な事実を知っているサイバー犯罪者は、好ましくない連鎖反応を作り出すことができることになる。

(関係する記事も参照して欲しい:Gmail, Yahoo and Hotmail’s CAPTCHA broken by spammersSpammers attacking Microsoft’s CAPTCHA ? againMicrosoft’s CAPTCHA successfully brokenLack of phishing attacks data sharing puts $300M at stake annuallyOnline broker CommSec criticised for weak passwords, lack of SSLパスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかにComcast responds to passwords leak on Scribd

 オンラインでの総当たり攻撃に対して、パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば、フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし、さらに悪いことにエンドユーザーがマルウェアに感染してしまえば、サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは、彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで、使われているすべてのサービスへのアクセスを許してしまうことだ。

 Hotmailでは、ユーザーはパスワードが72日ごとに期限切れになるオプションを設定することができるが、MicrosoftはそろそろGmailのように、ユーザーに対して「最近のアカウント利用履歴」機能を提供するべき時期ではないだろうか。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]