HOME コラム一覧 身近で起こっているインターネットの脅威について その5

身近で起こっているインターネットの脅威について その5

post_visual

JPCERT/CCが今年も実施、「STOP! パスワード使い回し!キャンペーン」

1.このニュースをザックリ言うと

- 8月1日(日本時間)から、セキュリティ専門機関JPCERT/CCより、「STOP! パスワード使い回し!キャンペーン2018」と題し、パスワードの適切な使用に関する啓発キャンペーンが実施されています。

- このキャンペーンは、複数のインターネットサービスで同じID・パスワードを使い回しているアカウントに対する「パスワードリスト攻撃」による不正ログインの被害が継続的に発生していることへの警告を行っており、リスト攻撃が問題となった2014年以降、毎年この時期に行われています。

- パスワードを使い回さずに不正ログイン等を防止するための対策として、次の事項が挙げられています。
(1)「文字列は長めにする(12文字以上推奨)」「様々な文字種(大小英字、数字、記号)を組み合わせる」「推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける」といった条件を満たす安全なパスワードを設定すること
(2)「紙にメモして、人目に触れない場所で保管する」「パスワード付きの電子ファイルで保管する」「パスワード管理ツールを使用する」といった方法での適切な管理
(3)「ワンタイムパスワードなどの2段階認証機能」「ログイン履歴機能、ログインアラート機能」「ID・パスワードを忘れた場合の再設定機能」といったセキュリティ機能を事前に確認し、活用すること

2.執筆者からの所感等

- これまでパスワード管理において今まで常識ともされてきた「定期的に変更する」について、これをシステム上で要求してきたことにより、逆に安全でない推測されやすいパスワードが設定されていたという実験結果がキャンペーンのページでは挙げられており、今年は、やはりこれを推奨していた総務省も撤回し、方針転換するという出来事がありました(「AUS便り 2018/04/09号」参照)。

- 一見して安全だと思われるパスワードであっても、「一つの単語の一部文字を記号に変えた」程度のものは、今では攻撃者が使用するブルートフォース(総当たり)攻撃用のツールで対応しているケースが多く、不正ログインされるのは時間の問題とされており、設定可能であれば、一単語ではなく、他人が推測しにくい複数の単語~一つの文章をパスワード(パスフレーズ)とすることにより、パスワードの安全性を高めることが期待できます。

- 残念ながら今でも「英数字のみ」や「8文字以下」といったパスワードの制限を行っているサービスは珍しくありませんが、自組織内でのアカウントを発行する場合やユーザが登録するサービスを提供する場合において、こういった制限を設けないようにすることはユーザを保護するという観点では重要な事項と言えるでしょう。



執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

中小企業のインターネット

記事の一覧を見る

関連リンク

身近で起こっているインターネットの脅威について その4

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2018/img/thumbnail/img_32_s.jpg
8月1日(日本時間)から、セキュリティ専門機関JPCERT/CCより、「STOP! パスワード使い回し!キャンペーン2018」と題し、パスワードの適切な使用に関する啓発キャンペーンが実施されています。
2018.08.22 16:45:19