「全てのインターネットサービスで異なるパスワードを!」 - 使い回しをしないための具体策
いつもご覧いただき、ありがとうございます♪
最新ニュースをお届けします。
IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードの使い回しをやめ、安全にパスワード管理するための具体策を紹介している。
○多発する不正ログインやなりすまし
まずは、表1を見ていただきたい。
表1 公表された最近のパスワードリスト攻撃の「試行件数」と「成立件数」
不正ログイン成立率は、IPAで算出したものである。パスワードリスト攻撃であるが、悪意を持った攻撃者が、なんらかの方法で詐取したIDやパスワードを使い、自動プログラムを使うことで、Webサイトに不正ログインを試みようとする攻撃である。表1の成功率だけを見れば、そんなに高い数字ではないと思われるかもしれない。しかし、件数について注目すれば、数万という不正ログインが成功していることがわかる。
攻撃者にとっては、不正ログインが成功したIDとパスワードの組み合わせは、他のサービスでも悪用できるものとなる。ここがポイントとなる。不正ログインが行われたWebサイトは、オンライン取引や重要な情報を扱っていなかったとしても、他のWebサイトで同じIDとパスワードを利用している可能性が高いと攻撃者に推察される。結果、簡単に不正ログインが行われてしまう。もし、それがオンラインバンキングであったらどうなるか?直接的な金銭被害の危険性も十分に考えられる。
○パスワードを覚えきれない
さて、再度整理すると、図1のようになる。
最近は、買い物サイトやSNS、さまざまなサービスでID登録を行う必要がある。10や20のIDやパスワードを利用しているユーザーも決してめずらしくない。そこで、問題となるのが、IDやパスワードの使い回しである。安易ではないパスワードをいくつも覚えることは非常に困難である。また、IDもメールアドレスなどを使うことが多いので、同じIDとパスワードの組み合わせが非常に発生しやすい。ここを狙ったのがパスワードリスト攻撃ともいえる。
IPAでは、このようなパスワードリスト攻撃は、まだまだ氷山の一角であると指摘する。現在、利用しているインターネットサービスでそのような被害が報告されていなくとも、安心はできないという。そして、別の脅威側面も存在する。ユーザー自身が、きちんとIDとパスワードの管理を行っていても、インターネットサービスのサーバーから盗み出される可能性もある点である。実際に大量の個人情報の流出なども報道され、見聞きしたことがあるユーザーも多いであろう。
IPAは、ユーザー側で強固なパスワードを設定し、かつPC上でセキュリティ対策ソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできないと、強く警告する。
○パスワードを安全に管理するための具体策の例
パスワードの使い回しがよくないことは理解できても、どうやって実現するか?つまり、複数のパスワードを、どのように管理するかである。IPAでは、まず
自分が利用するIDとパスワードを、リスト化して保持
という方法を提案する。覚えきれないIDとパスワードをなんらかの形でリストとして保持するのである。注意点は、紙のノートやメモ帳などに保持していてもよいが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを推奨している。そして、そのままでは、安全とはいえない。そこで、
・表計算ソフトでIDとパスワードのリストを作成する。そのリストを、パスワード付きでファイル保存
・表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換
・「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルを、パスワード付きで圧縮ファイルに変換
といった方法をすべきとしている。補足すると、表計算ソフトでは、[名前をつけて保存]から[ツール]→[全般オプション]から行う(図2)。
圧縮ファイルのパスワードであるが、Windows XPではOSの標準機能で可能であった。zipファイルをダブルクリックして、[ファイル]メニューから行う(図3)。
Vista以降は、この機能はない。フリーソフトなどを使うことで、可能となる(図4)。
また、
サービスの重要度によっては、IDとパスワードのリストを別々のファイルに分けて保持
という方法もある。オンライン取引に使用するのIDとパスワードなど、金銭に絡む重要なものについては、上述のリストを用いた管理に加え、IDとパスワードを切り離して保持することを勧めている(図5)。
図5のように「ID」と「サービス名」のリストと「パスワード」のリストの2つを作る。この2つのリストを別々に保持する(たとえば、PCと紙、PCとスマートフォンなど)。こうすれば、一方が盗み取られても、それだけでは不正ログインに悪用することができない。具体的には、○×銀行にログインする場合には、各リストの「1」の列を見て、IDとパスワードをそれぞれ読み取る。IDを覚えている場合は、ログイン時に図5右のパスワードのリストのみを確認する。
○もし、被害に遭った場合の対応
不正ログインの被害に遭ったことが判明した場合、さらなる被害を防ぐために、速やかにパスワードを変更する。その後、サービスを提供する会社のサポート窓口に連絡し、実被害が生じた場合の補償やその後の対応について説明を受ける。
また、不正ログインされたIDでクレジットカードを使った場合は不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡が必要となる。クレジットカードの場合、不正利用であることが証明されれば補償される可能性が高い。しかし、速やかにクレジットカード会社に連絡を取り、対処方法を相談してほしいとのことだ。
(c-bou)
http://headlines.yahoo.co.jp/hl?a=20130802-00000142-mycomj-sci
※この記事の著作権は配信元に帰属します。
FISHERMAN’S BAG
最新ニュースをお届けします。
IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードの使い回しをやめ、安全にパスワード管理するための具体策を紹介している。
○多発する不正ログインやなりすまし
まずは、表1を見ていただきたい。
表1 公表された最近のパスワードリスト攻撃の「試行件数」と「成立件数」
不正ログイン成立率は、IPAで算出したものである。パスワードリスト攻撃であるが、悪意を持った攻撃者が、なんらかの方法で詐取したIDやパスワードを使い、自動プログラムを使うことで、Webサイトに不正ログインを試みようとする攻撃である。表1の成功率だけを見れば、そんなに高い数字ではないと思われるかもしれない。しかし、件数について注目すれば、数万という不正ログインが成功していることがわかる。
攻撃者にとっては、不正ログインが成功したIDとパスワードの組み合わせは、他のサービスでも悪用できるものとなる。ここがポイントとなる。不正ログインが行われたWebサイトは、オンライン取引や重要な情報を扱っていなかったとしても、他のWebサイトで同じIDとパスワードを利用している可能性が高いと攻撃者に推察される。結果、簡単に不正ログインが行われてしまう。もし、それがオンラインバンキングであったらどうなるか?直接的な金銭被害の危険性も十分に考えられる。
○パスワードを覚えきれない
さて、再度整理すると、図1のようになる。
最近は、買い物サイトやSNS、さまざまなサービスでID登録を行う必要がある。10や20のIDやパスワードを利用しているユーザーも決してめずらしくない。そこで、問題となるのが、IDやパスワードの使い回しである。安易ではないパスワードをいくつも覚えることは非常に困難である。また、IDもメールアドレスなどを使うことが多いので、同じIDとパスワードの組み合わせが非常に発生しやすい。ここを狙ったのがパスワードリスト攻撃ともいえる。
IPAでは、このようなパスワードリスト攻撃は、まだまだ氷山の一角であると指摘する。現在、利用しているインターネットサービスでそのような被害が報告されていなくとも、安心はできないという。そして、別の脅威側面も存在する。ユーザー自身が、きちんとIDとパスワードの管理を行っていても、インターネットサービスのサーバーから盗み出される可能性もある点である。実際に大量の個人情報の流出なども報道され、見聞きしたことがあるユーザーも多いであろう。
IPAは、ユーザー側で強固なパスワードを設定し、かつPC上でセキュリティ対策ソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできないと、強く警告する。
○パスワードを安全に管理するための具体策の例
パスワードの使い回しがよくないことは理解できても、どうやって実現するか?つまり、複数のパスワードを、どのように管理するかである。IPAでは、まず
自分が利用するIDとパスワードを、リスト化して保持
という方法を提案する。覚えきれないIDとパスワードをなんらかの形でリストとして保持するのである。注意点は、紙のノートやメモ帳などに保持していてもよいが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを推奨している。そして、そのままでは、安全とはいえない。そこで、
・表計算ソフトでIDとパスワードのリストを作成する。そのリストを、パスワード付きでファイル保存
・表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換
・「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルを、パスワード付きで圧縮ファイルに変換
といった方法をすべきとしている。補足すると、表計算ソフトでは、[名前をつけて保存]から[ツール]→[全般オプション]から行う(図2)。
圧縮ファイルのパスワードであるが、Windows XPではOSの標準機能で可能であった。zipファイルをダブルクリックして、[ファイル]メニューから行う(図3)。
Vista以降は、この機能はない。フリーソフトなどを使うことで、可能となる(図4)。
また、
サービスの重要度によっては、IDとパスワードのリストを別々のファイルに分けて保持
という方法もある。オンライン取引に使用するのIDとパスワードなど、金銭に絡む重要なものについては、上述のリストを用いた管理に加え、IDとパスワードを切り離して保持することを勧めている(図5)。
図5のように「ID」と「サービス名」のリストと「パスワード」のリストの2つを作る。この2つのリストを別々に保持する(たとえば、PCと紙、PCとスマートフォンなど)。こうすれば、一方が盗み取られても、それだけでは不正ログインに悪用することができない。具体的には、○×銀行にログインする場合には、各リストの「1」の列を見て、IDとパスワードをそれぞれ読み取る。IDを覚えている場合は、ログイン時に図5右のパスワードのリストのみを確認する。
○もし、被害に遭った場合の対応
不正ログインの被害に遭ったことが判明した場合、さらなる被害を防ぐために、速やかにパスワードを変更する。その後、サービスを提供する会社のサポート窓口に連絡し、実被害が生じた場合の補償やその後の対応について説明を受ける。
また、不正ログインされたIDでクレジットカードを使った場合は不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡が必要となる。クレジットカードの場合、不正利用であることが証明されれば補償される可能性が高い。しかし、速やかにクレジットカード会社に連絡を取り、対処方法を相談してほしいとのことだ。
(c-bou)
http://headlines.yahoo.co.jp/hl?a=20130802-00000142-mycomj-sci
※この記事の著作権は配信元に帰属します。
FISHERMAN’S BAG
