IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードの使い回しをやめ、安全にパスワード管理するための具体策を紹介している。
多発する不正ログインやなりすまし
まずは、表1を見ていただきたい。
表1 公表された最近のパスワードリスト攻撃の「試行件数」と「成立件数」
| 被害企業 | 不正ログインの試行件数(A) | 不正ログインの成立件数(B) | 不正ログイン成立率(B/A) |
|---|---|---|---|
| A社 | 約24,000 | 77 | 0.32% |
| B社 | 約26,000 | 97 | 0.37% |
| C社 | 約1,110,000 | 約15,000 | 1.35% |
| D社 | 約240,000 | 682 | 0.28% |
| E社 | 5,202,002 | 8,289 | 0.16% |
| F社 | 11,031 | 126 | 1.14% |
| G社 | 15,457,485 | 23,926 | 0.15% |
| H社 | 3,945,927 | 35,252 | 0.89% |
不正ログイン成立率は、IPAで算出したものである。パスワードリスト攻撃であるが、悪意を持った攻撃者が、なんらかの方法で詐取したIDやパスワードを使い、自動プログラムを使うことで、Webサイトに不正ログインを試みようとする攻撃である。表1の成功率だけを見れば、そんなに高い数字ではないと思われるかもしれない。しかし、件数について注目すれば、数万という不正ログインが成功していることがわかる。
攻撃者にとっては、不正ログインが成功したIDとパスワードの組み合わせは、他のサービスでも悪用できるものとなる。ここがポイントとなる。不正ログインが行われたWebサイトは、オンライン取引や重要な情報を扱っていなかったとしても、他のWebサイトで同じIDとパスワードを利用している可能性が高いと攻撃者に推察される。結果、簡単に不正ログインが行われてしまう。もし、それがオンラインバンキングであったらどうなるか?直接的な金銭被害の危険性も十分に考えられる。
パスワードを覚えきれない
さて、再度整理すると、図1のようになる。
 |
図1 パスワードリスト攻撃による被害の発生の流れ(今月の呼びかけより) |
最近は、買い物サイトやSNS、さまざまなサービスでID登録を行う必要がある。10や20のIDやパスワードを利用しているユーザーも決してめずらしくない。そこで、問題となるのが、IDやパスワードの使い回しである。安易ではないパスワードをいくつも覚えることは非常に困難である。また、IDもメールアドレスなどを使うことが多いので、同じIDとパスワードの組み合わせが非常に発生しやすい。ここを狙ったのがパスワードリスト攻撃ともいえる。
IPAでは、このようなパスワードリスト攻撃は、まだまだ氷山の一角であると指摘する。現在、利用しているインターネットサービスでそのような被害が報告されていなくとも、安心はできないという。そして、別の脅威側面も存在する。ユーザー自身が、きちんとIDとパスワードの管理を行っていても、インターネットサービスのサーバーから盗み出される可能性もある点である。実際に大量の個人情報の流出なども報道され、見聞きしたことがあるユーザーも多いであろう。
IPAは、ユーザー側で強固なパスワードを設定し、かつPC上でセキュリティ対策ソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできないと、強く警告する。
パスワードを安全に管理するための具体策の例
パスワードの使い回しがよくないことは理解できても、どうやって実現するか?つまり、複数のパスワードを、どのように管理するかである。IPAでは、まず
自分が利用するIDとパスワードを、リスト化して保持
という方法を提案する。覚えきれないIDとパスワードをなんらかの形でリストとして保持するのである。注意点は、紙のノートやメモ帳などに保持していてもよいが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを推奨している。そして、そのままでは、安全とはいえない。そこで、
- 表計算ソフトでIDとパスワードのリストを作成する。そのリストを、パスワード付きでファイル保存
- 表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換
- 「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルを、パスワード付きで圧縮ファイルに変換
 |
図2 表計算ソフトでパスワードを設定 |
といった方法をすべきとしている。補足すると、表計算ソフトでは、[名前をつけて保存]から[ツール]→[全般オプション]から行う(図2)。
圧縮ファイルのパスワードであるが、Windows XPではOSの標準機能で可能であった。zipファイルをダブルクリックして、[ファイル]メニューから行う(図3)。
 |
図3 Windows XPで圧縮ファイルにパスワードを設定 |
Vista以降は、この機能はない。フリーソフトなどを使うことで、可能となる(図4)。
 |
図4 Lhaplusを使いパスワードを設定 |
また、
サービスの重要度によっては、IDとパスワードのリストを別々のファイルに分けて保持
という方法もある。オンライン取引に使用するのIDとパスワードなど、金銭に絡む重要なものについては、上述のリストを用いた管理に加え、IDとパスワードを切り離して保持することを勧めている(図5)。
 |
図5 IDとパスワードを別に保持する(今月の呼びかけより) |
図5のように「ID」と「サービス名」のリストと「パスワード」のリストの2つを作る。この2つのリストを別々に保持する(たとえば、PCと紙、PCとスマートフォンなど)。こうすれば、一方が盗み取られても、それだけでは不正ログインに悪用することができない。具体的には、○×銀行にログインする場合には、各リストの「1」の列を見て、IDとパスワードをそれぞれ読み取る。IDを覚えている場合は、ログイン時に図5右のパスワードのリストのみを確認する。
もし、被害に遭った場合の対応
不正ログインの被害に遭ったことが判明した場合、さらなる被害を防ぐために、速やかにパスワードを変更する。その後、サービスを提供する会社のサポート窓口に連絡し、実被害が生じた場合の補償やその後の対応について説明を受ける。
また、不正ログインされたIDでクレジットカードを使った場合は不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡が必要となる。クレジットカードの場合、不正利用であることが証明されれば補償される可能性が高い。しかし、速やかにクレジットカード会社に連絡を取り、対処方法を相談してほしいとのことだ。
