IDとパスワードのリストを使った攻撃(リスト攻撃)と見られる不正ログイン被害が続いていることを受け、IPA(情報処理推進機構)は1日、全てのインターネットサービスで異なるパスワードを使用するよう注意を呼びかけた。
リスト攻撃は、攻撃者が何らかの方法で入手したID/パスワードリストと自動連続入力プログラムを使い、機械的なログインを試行して認証を突破する攻撃のこと。複数のサービスで同じIDとパスワードの組み合わせを使いまわしているユーザーを狙ったもので、今年4月頃から、国内の大手会員制サイトで相次ぎ被害報告が出されている。各社の報告によれば、数件から数百件の試行に対し1件の割合で不正ログインが成功しており、10万件を超える不正ログイン被害が出たところもある。
複数のサービスで同じIDとパスワードを使いまわしている場合には、その中のいずれかのサービスのアカウント情報が漏えいしてしまうと、そのサービスだけでなく、他のサービスも不正にログインされてしまう危険があるのだ。
■パスワードの使い回しを避け、安全に管理するには
パスワードを設定する際の最優先課題は、破られにくいものを設定することだ。ありがちなものや推測されそうなものを避け、複数の文字種を使った長いパスワードを設定すると、破られにくいものになる。だが、こうした強固なパスワードを、全サービスに個別に設定するとなると、その全てを暗記しておくのは現実的ではない。
IPAでは、多くのパスワードを安全に管理するための具体策として、IDとパスワードを記載したリストを作成し、パスワード付きのファイルとして保持することを勧めている。具体的には、表計算ソフトやメモ帳でリストを作成し、パスワード付きでzipなどの圧縮ファイルにしておく。ファイルをパスワードで保護するのは、ファイルの漏えいや窃取、端末の不正操作などを想定しての措置と思われる。過去には、リスト化したファイルを取得され、不正アクセスに使われた事例があるので注意したい。
IPAでは、インターネットバンキングのなどの金銭に絡む重要なものについては、IDのリストとパスワードのリストを切り離して保持することも推奨している。パソコンと紙、パソコンとスマートフォンのように、2つのリストを別々に保持することにより、一方を盗み取られても、それだけでは不正ログインに悪用できないようにする安全策だ。
■パスワード管理には専用ソフトを
IPAの告知では触れられていないが、ID/パスワードの管理には、有償・無償の管理ソフトが幾つもリリースされている。専用の管理ソフトでは、リストが安全に保持されることはもちろん、製品によっては、マルチプラットフォーム対応、複数の端末間でのリストの同期機能、Webブラウザと連携したID/パスワードの自動保存機能や自動入力機能、強固なパスワードの自動生成機能などをサポートしている。単なるリスト管理とは別世界の、快適な管理・運用が行える。こうしたツールの導入も検討してみてはいかがだろうか。
一部のサービスでは、ID/パスワードが人手に渡っても、それだけではログインできないようにする、2段階認証を導入しているところもある。詳細は、下記トピックスでご紹介しているので、利用できる方は、これも併せて検討していただきたい。
(2013/08/05 ネットセキュリティニュース)
【関連URL:IPA】
・2013年8月の呼びかけ「全てのインターネットサービスで異なるパスワードを!」
http://www.ipa.go.jp/security/txt/2013/08outline.html