IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)は17日、パスワードリスト攻撃による不正ログイン被害が繰り返し発生していることから、複数のインターネットサービスで同じパスワードを使い回さないよう呼びかけた。
パスワードリスト攻撃(以下、リスト攻撃)とは、攻撃者が事前に不正取得したID/パスワードのリストを、連続自動入力プログラムなどを用いて入力し、インターネットサービスに不正アクセスを試みるもの。利用者が複数のインターネットサービスで同じパスワードを使い回していると、この手法による不正ログインの成功を招いてしまう。警察庁によると、昨年は約80万件のリスト攻撃が判明している。
■止まらないリスト攻撃と「パスワードの使い回し」
JPCERT/CCがまとめた、2013年8月から2014年8月までの「被害を公表した企業数」グラフによると、リスト攻撃はこの間、途切れることなく継続している。今年9月に入ってからも、JR東日本の共通IDサービス「My JR-EAST」や、リクルートホールディングス提供の会員向けIDサービス「リクルートID」で、大規模な不正ログインの発生が報じられた。
JPCERT/CCは、リスト攻撃の「試行件数」と「成立件数」の両方を公表した企業7社について、「不正ログイン成立率」を算出している。低いもので0.80%、高いものは9.98%という結果で、複数サービスでパスワードを使い回している人の多さを示す。
IPAが今年8月に発表した調査結果では、金銭に関連したサービスサイト(ネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合は約4分の1(25%)と高率で、「パスワードを使い回す理由」で最も多いのは、「パスワードを忘れてしまうから」(64%)だった。複数のパスワードを忘れずに管理できる方法が一般に普及すれば、使い回しを大幅に減らすことができるだろう。
■複数パスワードを忘れずに管理する方法
ここでは、「紙のメモ」「パスワード付き電子ファイル」「パスワード管理ツール」の3つの方法が紹介されている。紙のメモはネットワーク経由で窃取される危険はないが、紛失・盗難の恐れがあるため、第三者が見てもわからないように記載するとよい。「パスワード付き電子ファイル」は、表計算ソフトやテキスト編集ソフトでIDとパスワードのリストを作成し、そのファイルにパスワードを設定して保存する。テキスト編集ソフトはファイルにパスワードがかからないので、圧縮ファイルでパスワードを設定する。「パスワード管理ツール」は、信頼できる専用ツールを使用し、IDとパスワードを保存。ツールを起動するためのマスターパスワードを登録し、それだけを覚えておけばよい。
■不正ログインに気付く機能、防止する機能
一部のインターネットサービスでは、ユーザーが不正ログインに気付ける機能や、不正ログインを防止する機能が提供されている。自分が利用しているサービスでそれらが提供されている場合は、積極的に利用したい。たとえば、通常とは異なるIPアドレスや国などからログインが行われた場合、メール等で通知を受けられる「ログイン通知」は、不審なアクセスに気付くことができる。ログイン時刻やアクセス元、URL等の履歴を確認できる「ログイン履歴」は、身に覚えのない不審なアクセスの有無をチェックできる。また、あらかじめ登録しておいた携帯電話等に送信される「認証コード」や、一定時間だけ有効な「ワンタイムパスワード」の利用は、不正ログインを防止する有効な対策となる。
IPAとJPCERT/CCは、IDとパスワードの使い回しによる不正ログイン被害にあうことがないよう、これらの対策を実施するよう呼びかけている。
(2014/09/19 ネットセキュリティニュース)
【関連URL】
・STOP!! パスワード使い回し!! パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(JPCERT/CC)
http://www.jpcert.or.jp/pr/2014/pr140004.html
・パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(IPA)
http://www.ipa.go.jp/about/press/20140917.html
・「なりすましログイン」にご注意ください(リクルートホールディングス)
http://www.recruit.jp/news_data/notification/20140917_7765.html
・My JR-EAST のサービス再開について[PDF](JR東日本)
http://www.jreast.co.jp/pdf/20140913_myjreast.pdf