IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、最近多数報告されている不正利用にまつわる被害からIDとパスワードの管理について、注意を喚起している。

パスワードが不正利用された原因

IDとパスワードは、本人かどうかを確かめるための重要な認証方法となる。もし、IDやパスワードが不正利用されると、本人になりすまされ、金銭的な被害などに遭う可能性がある。最近、IDとパスワードを不正使用されたと推察される被害が多数報道され、IPAにも相談が寄せられている。では、なぜIDやパスワードが不正利用されてしまったのか?IPAでは、次のような可能性を指摘している。

  • 単純なパスワードを推測される、もしくは総当り攻撃によって破られた
  • ウイルス感染により、IDとパスワードを盗まれた
  • フィッシング詐欺に引っ掛かり、IDとパスワードを盗まれた
  • ソーシャルエンジニアリングにより、IDとパスワードを盗まれた

まず、単純なパスワードであるが、セキュリティ関連会社の調査によれば、実際のパスワードとして「123456」といったパスワードを使用しているケースが、非常に多いとのことである。また8文字以下の短いパスワードは、総当り攻撃に対し非常に弱い。このようなパスワードは悪意を持った攻撃者にとっては、たやすく破ることができてしまう。また、辞書にあるような言葉を使っていると、辞書攻撃などによって、破られてしまう可能性が極めて高い。

悪意を持った攻撃者にとっては、IDの入手も大きな一歩となる。たとえば、IDが連番で付与されるケース、メールアドレスがそのままIDになっているケースなどがある。まず、IDさえ入手してしまえば、悪意を持った攻撃者はパスワードが一致するかどうかを試すだけでよいことになる。さらに弱いパスワードしか設定されていない場合や管理に問題があると、たやすく認証を突破されてしまう。ほかには、実際のパスワードの入力を覗き見るといった方法も指摘されている。

今回の被害では、原因を突き止められない事例もあるとのことだ。パスワード認証は、100%安全な認証方式ではなく、破られてしまう可能性があることを覚えておきたい。そして、悪意を持った攻撃者は、つねにIDやパスワードを狙っており、なんらかの対策が必要であるということだ。

不正利用対策

上述の不正利用の原因への対策として、IPAでは以下をあげている。まずは、 破られにくいパスワードである。これには、

  • 大文字と小文字を使う
  • 数字と記号を使う
  • 辞書にはない文字列
  • 長さは8文字以上

といった要素を組み合わせることだ。また、破られにくいパスワードを作成したあとは、その運用や管理についても注意が必要となる。複数のオンラインサービスを利用している場合、同じパスワードを使い回していると、盗まれたときに被害が拡大するリスクが高まる。被害が複数のサービスに拡大することを防ぐためにも、それぞれ異なるパスワードを設定する。また、破られにくいパスワードを使っていても、長期間変更せずにいると漏えいする危険性がある。パスワードは、定期的に(たとえば毎月)変更するようにする。

インターネットカフェなど、自分の管理下にない、不特定多数の人が利用するPCでは、パスワードを入力しないことも対策となる。破られにくいパスワードを設定していても、そのPCにパスワードを盗むウイルスが仕掛けられていることもあるのだ。自分の管理下にないPCでは、IDとパスワードを必要とするオンラインサービスの利用は避けるべきである。さらに、

  • ウイルス対策ソフトを導入し、ウイルス感染を防ぐ
  • フィッシング詐欺やソーシャルエンジニアリングに騙されない

といった対策も重要である。

オンラインサービス事業者が提供しているサービスの活用

上述の対策に加え、利用しているオンラインサービスで提供されて不正利用対策を活用することも安全性を向上させることができる。具体的には、以下のようなものがある。

  • ログイン履歴が確認できるサービスでは、定期的に自分以外の利用がないか確認する
  • ワンタイムパスワードのサービスを利用する
  • 不正ログインに、本人が気がつくことができるサービスを利用する

最後の不正ログインに気がつくサービスであるが、ログインしたタイミングでお知らせメールを送信する機能などである。自分以外の誰かがログインした際に、お知らせメールが届けば、不正ログインに早く気づくことができ、被害を未然に防ぐことが可能となる。ぜひ、これらも組み合わせた対策を講じてほしい。

もし、被害に遭ってしまったら

IDやパスワードの不正利用対策は、手間がかかる。しかし、被害を防ぐには有効な手段となることを理解し、対策を実施してほしい。そして、対策を実施していても、オンラインサービス事業者側に問題(オンラインサービス事業者から直接、情報漏えいなど)があり、本人が対策を実施しているにもかかわらず被害に遭う可能性も否定できない。さらに、オンラインサービスの中には、クレジットカード情報を保存し、購入手続きを簡素化できる機能を提供しているケースがあるが、IDとパスワードが不正利用された場合、金銭的被害に直結する危険性も存在する。

もし、オンラインサービスに登録してあるクレジットカードの明細書に身に覚えのない請求があるなど、不正利用の被害に遭ってしまったら、直ちにクレジットカード会社とオンラインサービス事業者に不当な請求であることを報告し、対応を求めるべきと、IPAでは推奨している、さらに、消費生活センターに相談することも有効な方法となる点も覚えておきたい。