4月から5月初旬にかけて、国内大手サイトへの不正ログイン事件が相次いだ。先週末は大手ポータルサイトで不正アクセスがあり、最大2200万件のIDが流出した可能性があるという。利用しているWebサービスのID/パスワードの設定をもう一度見直し、使い回しなどの弱点があれば、適切なものに設定し直しておこう。
4月上旬に発生した大手ポータルサイトへの不正ログインでは約10万8000件の会員アカウントが、5月上旬に発生した大手ショッピングサイトへの不正ログインでは約1万5000件のアカウントが、リスト攻撃により突破されている。リスト攻撃とは、あらかじめ不正取得した大量のID/パスワードのセットを、標的とするWebサービスのログイン画面に、連続自動入力プログラムを用いて次々に入力し、突破を試みるもの。インターネットユーザーが複数サイトで同じID/パスワードを使い回している状況を利用した攻撃手法だ。
先週末発表の不正アクセス事件で流出の可能性があるのはIDのみで、パスワードには流出の恐れはない。しかし、他のWebサービスで同じIDを使い、かつ安易なパスワード設定にしていた場合、連続自動入力プログラムを用いて「安易なパスワード」を試す攻撃を受け、不正ログイン被害を受ける恐れがある。
IPA(情報処理推進機構)が昨年12月11日に発表した「情報セキュリティの脅威に対する意識調査」では、「サービス毎に異なるパスワードを設定」しているのは22.2%に留まっており、8割近いユーザーがパスワードの使い回しをしていることが判明している。
■IPAの意識調査--半数以上が「安易なパスワード」、約8割が「使い回し」
この意識調査は2005年度からWebアンケート方式で行われており、最新版は2012年10月に実施され同年12月に結果が発表された(通算11回目)。対象は15歳以上のインターネット利用者で、有効回収数は5000名(男性2587名、女性2413名)。
パスワードの設定方法に関する調査結果を見ると、パスワードを設定する際に「誕生日などの推測されやすいものを避けて設定している」は48.5%、「わかりにくい文字列(8文字以上、記号含む)を設定している」は43.3%、「サービス毎に異なるパスワードを設定している」は22.2%という結果だった。
半数以上が安易なパスワードを使い、約8割が複数のWebサービスでパスワードを使い回していることがわかる。上述のように、この2つの条件が重なると、不正ログイン被害にあう可能性が高くなる。利用しているWebサービスで使っているID/パスワードを見直し、同じパスワードを使っていないか、安易なパスワードになっていないか、もう一度チェックしておこう。使い回しがあればパスワードの変更手続きを行い、下記を参考に「強い(安全な)パスワード」に設定し直しておくことを強くお勧めする。
・安全なパスワードとは?
http://www.so-net.ne.jp/security/column/pc/s_pw.html
・IDとパスワードのセキュリティ
http://www.so-net.ne.jp/security/column/idpw/change.html
(2013/05/21 ネットセキュリティニュース)
【関連URL】
・当社サーバへの不正なアクセスについて(ヤフー)
http://pr.yahoo.co.jp/release/2013/0517a.html
・2012年度 情報セキュリティの脅威に対する意識調査」報告書について(IPA)
http://www.ipa.go.jp/security/fy24/reports/ishiki/
【関連記事:ネットセキュリティニュース】
・不正ログイン攻撃から身を守るには――代表的攻撃手法と自衛策(2013/04/24)