IPAおよびJPCERT/CCは9月17日、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう、注意を呼びかけた。
パスワードリスト攻撃とは、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストと自動的に入力するプログラムなどを用いて、ログイン機能を持つインターネットサービスにログインを試みる攻撃手法。利用者がIDとパスワードを使い回していると、この手法によりなりすましログインを可能にしてしまう。
|
|
パスワードリスト攻撃の仕組み 資料:IPA |
パスワードリスト攻撃による被害例 資料:IPA |
つまり、インターネットを安全に利用するには、利用者はパスワードを使い回さず、適切に管理する必要がある。
しかし、IPAが2014年8月に発表した報告書では、金銭に関連したサービスサイト(インターネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合が約4分の1(25.4%)という調査結果が出ている。
パスワードの使い回しを避けるには、複数のインターネットサービスの異なるパスワードを管理する必要があるが、その適切な管理方法として「紙のメモ」「電子ファイル(パスワード付き)」「パスワード管理ツール」が挙げられている。
紙のメモを利用する場合、IDとパスワードを別々の紙に分けて管理するとより安全だが、紙自体の紛失・盗難のおそれがあるため、第三者が見てもわからないように記載する必要がある。
また、不正なログインに気付く、または防止するためのインターネットサービスの機能としては、「ログイン通知」「ログイン履歴」「認証コード」「ワンタイムパスワード」が紹介されている。
