JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。

今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。

最終回は、JPCERTコーディネーションセンター インシデントレスポンスグループ 情報セキュリティアナリストの小林 裕士氏による寄稿です。

【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"

パスワードリスト攻撃の被害は継続中

今回は9社から、様々な視点でパスワード使い回しによるパスワードリスト攻撃の現状と対策についてご紹介いただきました。

これまでの特集記事で紹介されていた通り、現在もパスワードリスト攻撃が継続的に発生しています。パスワードリスト攻撃を受けた場合にはサイト内ポイントやクレジットカードの不正利用などの経済的な被害が想定されます。

パスワードリスト攻撃への対策はイタチごっこになりつつあり、正規なログインと不正なログインの見極めが困難を極めています。パスワードリスト攻撃において、サービス提供者側のみの対策では十分ではなく、利用者側でアカウント情報を悪用されないよう、パスワードを使い回さないなどの対策が必須となっています。

これまでの特集記事の内容を踏まえつつ、利用者とサービス提供者の視点からできることをまとめました。

利用者のできること

ログインが必要なサイトの利用者が、できることとして以下の点が挙げられます。

  • 利用するサイトごとに異なるパスワードを設定する

  • 適切なタイミングでパスワードを変更する

使い回しているアカウント情報が悪用される影響として、クラウド上にあるメールや写真などの個人に紐づく情報が第三者に渡ってしまう可能性があることも認識しておく必要があると考えています。

またJPCERT/CCでは、マルウエア感染などによりアカウント情報が窃取されるといった事例も確認しています。意図せずアカウント情報が窃取されていることを想定して、パスワードを適切なタイミングで変更することをお薦めします。

2要素認証などのセキュリティ強度が高いログイン方法が提供されているサイトでは、自衛手段として、使用を検討することをお薦めします。

なお、情報処理推進機構(IPA)が、日頃使っているパスワードにチョコっとプラスするだけで安全度がアップする具体的なアドバイスを紹介しているコンテンツをご紹介します。ご参考にされてみてはいかがでしょうか。

チョコっと+パスワード

サービス提供者のできること

一方で、ネットサービス提供者ができることとして、以下の点が挙げられます。

  • アカウント情報をデータベースに格納する際には暗号化する

  • ウエブアプリケーションを介してデータベースの内容が漏えいしないよう対策する

パスワードリスト攻撃について検知や対策の勘所については、各社からご紹介がありましたが、自社で運用しているサイトからアカウント情報が漏えいしないように対策を施しておくことが重要です。

多くのサイトでは、アカウント情報が暗号化されて保管されていますが、一部のサイトではアカウント情報が暗号化されていないことが確認されています。その結果として漏えいした情報が、他社サービスへのパスワードリスト攻撃に悪用されています。

セキュリティ対策に終わりはない

9社の寄稿による特集で各社が取り組んでいる内容について赤裸々に紹介していただきました。

特集記事を通じて、利用者またはサービス提供者の視点からパスワードリスト攻撃やその脅威について理解が広まり、攻撃に対する対策が進むことで、利用者とサービス提供者にとって最善の形で攻撃の被害が減少していくことを心より期待しております。

著者プロフィール

小林 裕士(こばやし ひろし)
JPCERTコーディネーションセンター
インシデントレスポンスグループ 情報セキュリティアナリスト

前職において国内企業でのインシデント対応、ネットワーク運用に従事。2011年よりJPCERTコーディネーションセンターインシデントレスポンスグループにおいて、国内で発生しているコンピュータセキュリティインシデントのコーディネーション業務、インシデント分析及びインシデント分析に係るシステムの開発、運用業務に従事。
2013年9月より、オープンリゾルバに係るインシデント対応の一環として、インターネットエンドユーザを対象にオープンリゾルバ確認サイトの提供を開始する。その他、インシデント対策の普及啓発活動や、円滑なインシデント対応に向けた取り組みも行っている。