IPA(情報処理推進機構)は21日、「安心相談窓口だより」を更新し、推測されやすいパスワード設定の危険性について取り上げた。芸能人のメールや写真をのぞき見した不正アクセス容疑で新聞社社員が逮捕された事件を受け、SNSで公開している誕生日やニックネームなどを使ったパスワード設定はNGと注意を促している。
■SNSで公開された誕生日、ニックネームなどからパスワードを推測
芸能人らのメールを不正にのぞき見するなどしていた新聞社社員が先月末、不正アクセス禁止法違反などの容疑で逮捕された。報道によると、容疑者は芸能人が利用する携帯電話会社の契約者向けサイトや、データ保管サービス「iCloud」に不正ログインし、メールや写真を盗み見していた。不正ログインに必要なパスワードは、芸能人のブログやSNSに公開されている誕生日やニックネームなどから推測して突破に成功したという。不正ログインによる芸能人のプライベート覗き見事件は今年5月にも別件が報じられているが、この事件でも氏名や生年月日から推測したパスワードが使われたという。
■「誕生日など推測されやすいパスワード」を避ける人は5割以下
IPAは今月20日に「情報セキュリティの脅威に対する意識調査」を公開したばかりで、パスワード設定方法の調査も実施している。それによると、「パスワードは誕生日など推測されやすいものを避けて設定している」人は全体の47.0%で、半数を切っている。しかも年々減少傾向にあるのが問題で、2013年(57.4%)、2014年(52.6%)、2015年(49.1%)、2016年(47.0%)と推移している。ここ2年は半数以上が、誕生日などを使った推測されやすいパスワードを設定していることになる。
そのほか、「パスワードはわかりにくい文字列(8文字以上、記号含む)を設定している」、「サービス毎に異なるパスワードを設定している」、「パスワードは定期的に変更している」についても尋ねているが、肯定した人は順に、46.0%、26.9%、23.7%という結果で、パスワード設定が危うい状況にあることを示している。
■不正アクセス被害を防ぐパスワードの設定、オプション機能
IPAは、ブログやSNSで公開している情報はパスワード設定に使わないこと、パスワードだけでなく「秘密の質問」の答えについても、ペットの名前や出身校などの公開情報を用いないようアドバイスしている。
下欄に挙げた当通信の関連記事「不正ログインを防ぐパスワードの設定と管理(前編)」では、パスワード設定・管理の基本として次の5つのポイントを挙げているので、参考にしていただきたい。
(1) 電話番号や誕生日、名前といった推測されそうなものを使わない
(2) 「12345678」「password」のような安易なものや単純な単語は避ける
(3) 大文字、小文字、数字、記号など多くの文字種を織り交ぜる
(4) 8文字以上の長いパスワードを設定する
(5) サービスごとに個別のものを設定する
IPAはまた、万が一の不正アクセス被害に備え、パスワード変更やログインをメールなどで知らせるアラート通知や二段階認証などのセキュリティ機能を、積極的に導入するよう勧めている。当通信の同記事では、「オプション機能の活用」として、「通知機能」「ログイン履歴」「2段階認証」を取り上げ、各社が提供する2段階認証サービスの手順について詳しく図説しているので、参考にしていただきたい。
(2016/12/22 ネットセキュリティニュース)
【関連URL:IPA】
・SNSで公開している誕生日などの情報を使ったパスワード設定はNG(2016年12月21日)
http://www.ipa.go.jp/security/anshin/mgdayori20161221.html
・2016年度情報セキュリティの脅威に対する意識調査[PSF](2016年12月20日)
https://www.ipa.go.jp/files/000056568.pdf
・不正ログイン被害の原因となるパスワードの使い回しはNG(2016年8月3日)
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
・その秘密の質問の答えは第三者に推測されてしまうかもしれません(2015年7月1日)
https://www.ipa.go.jp/security/txt/2015/07outline.html