編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

パスワードリスト攻撃による不正ログイン防止に向け注意喚起--IPAとJPCERT/CC

NO BUDGET

2014-09-17 19:28

 IPA(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)は9月17日、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう注意を喚起した。

 パスワードリスト攻撃とは、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを使用し、自動的に入力するプログラムなどを用いて、ログイン機能を持つインターネットサービスにログインを試みる攻撃手法。もし利用者がIDとパスワードを使い回していると、第三者によるなりすましログインを可能にしてしまう。


パスワードリスト攻撃の概要(IPA提供)

 しかし、少なからぬユーザーがパスワードの使い回しをしているのが実態だ。IPAが8月に発表した報告書では、金銭に関連したサービスサイト(インターネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合は約4分の1。

 そのパスワードを使い回している理由としては「(パスワードを同一にしないと)パスワードを忘れてしまうから」が64.1%で最多となっている。


パスワードの使い回しの状況(IPA提供)

同一のパスワードを使う理由(IPA提供)

 こうした背景を考慮し、今回の注意喚起では、「複数のパスワードを忘れずに管理できる方法」と「不正ログインに気付く、または防止する機能の活用」について紹介している。

 まず、「複数のパスワードを忘れずに管理できる方法」の具体的な例として挙げられているのは、以下の通り。

・紙のメモ

 IDとパスワードを記載したリストを紙のメモに保持しておけば、ネットワーク経由で窃取される危険はない。ただし紙そのものの紛失・盗難の恐れがあるため、IDとパスワードを別々の紙に分けて管理したり、第三者が見てもわからないように記載する必要がある。

・電子ファイル(パスワード付き)

 表計算ソフトやテキスト編集ソフトで管理し、パスワードつきの電子ファイルとして保持する。パスワードは、ファイルを編集するソフトの機能を使うか、zipなどの圧縮ファイルでパスワードを設定する。

・パスワード管理ツール

 パスワード管理のための信頼のおける専用ツール(ソフトウエア)を使用し、IDとパスワードを保存しておく。このツールを起動するためのマスターパスワードさえ覚えておけば、登録した各サービスのIDとパスワードを呼び出すことができる。

 一方、インターネットサービスの一部では、不正ログインが行われたことを迅速に認識する、または不正ログインを防止するための、「ログイン通知」「ログイン履歴」「認証コード」「ワンタイムパスワード(OTP)」といった対策が用意されており、その活用も促している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]