身近で起こっているインターネットの脅威について その5
JPCERT/CCが今年も実施、「STOP! パスワード使い回し!キャンペーン」
1.このニュースをザックリ言うと
- 8月1日(日本時間)から、セキュリティ専門機関JPCERT/CCより、「STOP! パスワード使い回し!キャンペーン2018」と題し、パスワードの適切な使用に関する啓発キャンペーンが実施されています。
- このキャンペーンは、複数のインターネットサービスで同じID・パスワードを使い回しているアカウントに対する「パスワードリスト攻撃」による不正ログインの被害が継続的に発生していることへの警告を行っており、リスト攻撃が問題となった2014年以降、毎年この時期に行われています。
- パスワードを使い回さずに不正ログイン等を防止するための対策として、次の事項が挙げられています。
(1)「文字列は長めにする(12文字以上推奨)」「様々な文字種(大小英字、数字、記号)を組み合わせる」「推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける」といった条件を満たす安全なパスワードを設定すること
(2)「紙にメモして、人目に触れない場所で保管する」「パスワード付きの電子ファイルで保管する」「パスワード管理ツールを使用する」といった方法での適切な管理
(3)「ワンタイムパスワードなどの2段階認証機能」「ログイン履歴機能、ログインアラート機能」「ID・パスワードを忘れた場合の再設定機能」といったセキュリティ機能を事前に確認し、活用すること
2.執筆者からの所感等
- これまでパスワード管理において今まで常識ともされてきた「定期的に変更する」について、これをシステム上で要求してきたことにより、逆に安全でない推測されやすいパスワードが設定されていたという実験結果がキャンペーンのページでは挙げられており、今年は、やはりこれを推奨していた総務省も撤回し、方針転換するという出来事がありました(「AUS便り 2018/04/09号」参照)。
- 一見して安全だと思われるパスワードであっても、「一つの単語の一部文字を記号に変えた」程度のものは、今では攻撃者が使用するブルートフォース(総当たり)攻撃用のツールで対応しているケースが多く、不正ログインされるのは時間の問題とされており、設定可能であれば、一単語ではなく、他人が推測しにくい複数の単語~一つの文章をパスワード(パスフレーズ)とすることにより、パスワードの安全性を高めることが期待できます。
- 残念ながら今でも「英数字のみ」や「8文字以下」といったパスワードの制限を行っているサービスは珍しくありませんが、自組織内でのアカウントを発行する場合やユーザが登録するサービスを提供する場合において、こういった制限を設けないようにすることはユーザを保護するという観点では重要な事項と言えるでしょう。