2014年12月9日火曜日

“使い回し”に潜む大きな落とし穴 大量のID、パスワードをどう管理するか

ID、パスワードを覚えきれずについ使い回してしまい、攻撃者に不正アクセスされる被害が後を絶たない。攻撃者に推測されにくいパスワードを、個々に設定することが防御策になるが、いくつものパスワードを持っている人にとって、すべてを覚えておくのは至難の業である。こうした面倒を省き、利便性と安全性を両立する便利なツールが「パスワードマネージャー」だ。

個人も狙われている
金銭窃取目的の攻撃

 外出先ではスマートフォンやタブレット、自宅ではPCを使って、いつでも、どこでもインターネットにアクセスできる便利な時代。その反面、セキュリティ対策を怠ると攻撃者の被害に遭う恐れがある。金銭の窃取を目的にする攻撃者が狙うのは企業ばかりではない。個人も狙われているのだ。
 情報セキュリティの調査などを行っている情報処理推進機構(IPA)セキュリティセンターでは毎年、「情報セキュリティ 10大脅威」を発表している。2014年版によると、「不正ログイン・不正利用」(2位)、「Webサービスからのユーザー情報の漏えい」(4位)、「オンラインバンキングからの不正送金」(5位)、「ウイルスを使った詐欺・恐喝」(9位)など、個人を狙った脅威が多い。Webサイトを運営する企業側の対策はもちろん重要だが、ユーザー自身が脅威を理解し、しっかりしたセキュリティ対策をとることが欠かせない。
 今日のネット社会では、ネットショッピング、ネットバンキング、ソーシャルネットワークサービス(SNS)など、さまざまなWebサイトでID、パスワードの登録が求められる。「2012年に当社が行ったWebサイトの利用状況に関する調査では、ユーザー一人当たり14サイトにID、パスワードを登録しています」とトレンドマイクロの木野剛志氏は話す。

ID、パスワードは
銀行の暗証番号と同じ

 ID、パスワードを登録するWebサイトが増える結果、パスワードを覚えられない、別のパスワードを考えるのが大変といった理由で、パスワードを使い回す人は多い。こうした要因を背景に、不正ログインで侵害されたID、パスワードの総数は2014年第2四半期で約61万5000件。前期の10倍に増えているという(2014年8月公表データを基にしたトレンドマイクロ調べ)。
 パスワードを狙う攻撃者の手口も多様化している。以前は、さまざまな文字列の組み合わせを試してパスワードを推測する「総当たり(ブルートフォース)攻撃」や、辞書に記載された単語からパスワードを推測する「辞書攻撃」が多かった。
トレンドマイクロ
コンシューママーケティング部
プロダクトマーケティング課
木野剛志氏
 だが、最近は「パスワードリスト攻撃」と呼ばれる手口が主流になっている。攻撃者は脆弱なWebサイトなどから不正に取得したパスワードのリストを悪用し、他のWebサイトに攻撃を仕掛けるというもの。ID、パスワードを使い回していた場合、そのサイトにとって「正規のID、パスワード」を使って不正ログインすることが可能となり、金銭や個人情報を盗まれるリスクが高くなる。
 こうした被害を防ぐためには、ID、パスワードの使い回しはしない、推測されやすい単純なパスワードは設定しないといった対策が必要だ。「ID、パスワードは銀行の暗証番号やパスポートと同じ。盗まれると金銭被害を受けたりプライバシーが侵害される恐れがあります」と木野氏は警告する。



...詳しい情報・続きはこちら >>
http://diamond.jp/articles/-/62440
─情報元:ダイヤモンド・オンラインサイト様─