「パスワードリスト攻撃」による不正ログインの被害が後を絶たないことを受け、JPCERTコーディネーションセンター(JPCERT/CC)はパスワードを使い回さないよう呼びかけるキャンペーンを今月1日に開始、31日まで実施する。
パスワードリスト攻撃とは、悪意のある者が何らかの方法で入手したID/パスワードのリストを使って不正ログインを試行し、有効な組み合わせを探す攻撃方法。複数のインターネットサービスで同じID/パスワードを使い回していると、どれか1つのサービスからこれらが流出した場合、他のサービスにも不正にログインされてしまうおそれがある。その結果、不正送金などの金銭的な被害にあう、SNSのアカウントを乗っ取られる、オンライン上に保存していたデータを盗み見られといった被害にあうおそれがある。
■不正ログインの被害を防ぐために~基本的な対策
不正ログインによる被害を防ぐための基本的な対策として、JPCERT/CCは、同じパスワードを使い回さないことと、複雑なパスワードを作ることを呼びかけている。
パスワードを複雑なものにするためには、利用できるすべての文字種(大小英字、数字、記号)を組み合わせること、十分な長さ(8文字以上)であること、名前、生年月日や、数字などの単純な文字の並びではないこと、この3つの条件を満たすようにする。
サービスごとに異なる複雑なパスワードを設定するとなると、覚えておくことが困難になる。そのため、ID/パスワードを適切に管理する方法として、以下が挙げられている。
・IDとパスワードを別の紙に分けてメモし、人目に触れにくい、鍵をかけられる場所に別々に保管する。
・IDとパスワードを別々の電子ファイルで、パスワードを設定して保存する。パスワード付きの電子ファイルは、表計算ソフト(Excelなど)やテキスト編集ソフト(Wordまど)を使って記録、参照できる。
・信頼できるパスワード管理ツールを使用する。多くの場合、ツールを起動するためのパスワードを覚えてさえいればよく、サービスごとに異なる複雑なパスワードを容易に管理できる。
■さらに安全を高める対策と不正ログインに気づいたときの対処法
インターネットサービスによっては、不正なログインを防止したり、発見したりするのに役立つセキュリティ機能が提供されていることがある。JPCERT/CCは、さらに安全を高めるための対策として、ワンタイムパスワードなど2段階認証機能の活用と、ログイン履歴確認機能やログインアラート機能の活用を呼びかけている。
万が一、不正ログインされていることに気づいたときの対策としては、インターネットサービスのヘルプデスクに相談すること、同じID/パスワードを他のサービスで使い回していないか確認すること、他のサービスでも不正なログインが行われていないかを確認することが挙げられている。
なお、パスワードの設定と管理については、下記の関連トピックスでも詳しく解説している。ぜひ役立てていただきたい。
(2016/08/15 ネットセキュリティニュース)
【関連URL:JPCERT/CC】
・STOP!!パスワード使い回し!!キャンペーン2016
https://www.jpcert.or.jp/pr/2016/pr160003.html
https://www.jpcert.or.jp/pr/2016/pr160003_detail.html