JPCERTコーディネーションセンター(JPCERT/CC)は、パスワードを使い回さないよう呼びかけるキャンペーン「STOP!!パスワード使い回し!!キャンペーン2018」を開始した。31日まで実施する。
何らかの方法で入手した認証情報(ID/パスワード)を使って機械的に不正ログインを試行し、有効な組み合わせを探し出す攻撃が、この数年来国内で頻繁に繰り返されている。複数のインターネットサービスで同じ認証情報を使い回していると、どれかひとつのサービスの認証情報が漏えいした際に、他のサービスにも不正ログインされ、被害が広がるおそれがある。
不正ログイン被害を防ぐ基本対策として、JPCERT/CCは「安全なパスワードの設定」「パスワードの適切な管理」「サービスのセキュリティ機能活用」の3つのポイントを紹介している。
■安全なパスワードの設定
破られにくい安全なパスワードとして、従来から次の3条件が求められていた。
(1) 多くの文字種(大小英字、数字、記号)を組み合わせること
(2) 十分な長さ(8文字以上)であること
(3) 名前や生年月日などの推測されやすい単純なものを使用しないこと
本キャンペーンは、これら3条件に「他のサービスで使用しているパスワードは使用しない」という4つ目の条件を加えることで、いわゆる「パスワードリスト攻撃」を回避しようというのが狙いだ。
安全なパスワードの3条件は、前年から若干変わっており、十分な長さは12文字以上を推奨とする一方、多くの「文字種」を使う従来の方法よりも、「文字数」を少しでも増やすことが望ましいという方向にシフトしている。
これまで提唱されていた、英大小文字(52種)、数字(10種)、記号(32種)を合わせた94種から8文字を選ぶ組み合わせは、0.6京通りある。毎秒10回の総当たり攻撃で解読しようとすると、全部試すのに約1933万年かかる計算だ。いつかは破られるが、事実上不可能ということになる。文字種を減らして同等以上の耐性を実現するには、記号を抜いた英大小文字と数字の計62種から9文字を選ぶ「1.4京通り」、英小文字(26種)と数字の計36種から11文字を選ぶ「13.2京通り」,英小文字だけなら12文字「9.5京通り」、数字だけなら16文字「1京通り」で十分となる。
パスワードに要求される文字種と文字数の組み合わせには諸説あるようで、本キャンペーンでは、記号を使わない36種(英小文字+数字)で12文字以上(473.8京通り)を推奨している。内閣サイバーセキュリティセンター(NISC)の「ネットワークビギナーのための情報セキュリティハンドブック」では、記号の一部を除いた88種(英大小文字+数字+記号26種)で10文字以上(2785京通り)を推奨している。
■パスワードの適切な管理
サービスごとに異なる安全なパスワードは、忘れてしまう可能性がある。古くは暗記が基本だったため、「共通の固定文字列+サービスごとに異なる文字列」という形での運用方法しかなかったが、近年は管理方法が緩和され、紙のメモやファイルへの保管も許容されている。認証情報を管理するブラウザやシステム、アプリもあるので、それらを利用し、管理の手間を省いていただきたい。
かつてはブラウザの管理機能が非常にお粗末で、簡単に漏えいしてしまう時代があった。当時のことがトラウマになっているのか、いまだにブラウザの機能を推奨しない向きがあるが、積極的に利用して手間を省き、その分強固なパスワードの設定に努めたい。ちなみにブラウザのパスワード管理機能は、Safariはアップルの「キーチェーン」、IEやEdgeはマイクロソフトの「資格情報マネージャー」、Chromeはグーグルの「Smart Lock」というシステムサービスを使用している。同じシステムやブラウザ間であれば、保存した認証情報を同期・共有することができるが、システムやブラウザに依存しないパスワード管理ツールのように、異なるシステムやブラウザ間で共有することができない。
■サービスのセキュリティ機能活用
インターネットサービスによっては、2段階認証機能やログインアラート、ログイン履歴などのセキュリティ機能が提供されえている。これらを積極的に利用し、より安全に利用していただきたい。
アプリやSMSなどで使い捨てのワンタイムパスワードを発行し、ログイン時に併用する2段階認証機能は、強力な不正なログイン対策になる。ログインアラートやログイン履歴は、不正ログインの早期発見に役立つ機能だ。提供されている場合には積極的に利用したい。
(2018/08/08ネットセキュリティニュース )
【関連URL】
・STOP! パスワード使い回し!キャンペーン2018
https://www.jpcert.or.jp/pr/2018/stop-password2018.html