IPAは、コンピュヌタりィルスや䞍正プログラムの状況分析から、「今月の呌びかけ」を発衚しおいる。今月は、パスワヌドの䜿い回しをやめ、安党にパスワヌド管理するための具䜓策を玹介しおいる。

倚発する䞍正ログむンやなりすたし

たずは、衚1を芋おいただきたい。

è¡š1 公衚された最近のパスワヌドリスト攻撃の「詊行件数」ず「成立件数」

被害䌁業 䞍正ログむンの詊行件数(A) 䞍正ログむンの成立件数(B) 䞍正ログむン成立率(B/A)
A瀟 箄24,000 77 0.32%
B瀟 箄26,000 97 0.37%
C瀟 箄1,110,000 箄15,000 1.35%
D瀟 箄240,000 682 0.28%
E瀟 5,202,002 8,289 0.16%
F瀟 11,031 126 1.14%
G瀟 15,457,485 23,926 0.15%
H瀟 3,945,927 35,252 0.89%

䞍正ログむン成立率は、IPAで算出したものである。パスワヌドリスト攻撃であるが、悪意を持った攻撃者が、なんらかの方法で詐取したIDやパスワヌドを䜿い、自動プログラムを䜿うこずで、Webサむトに䞍正ログむンを詊みようずする攻撃である。衚1の成功率だけを芋れば、そんなに高い数字ではないず思われるかもしれない。しかし、件数に぀いお泚目すれば、数䞇ずいう䞍正ログむンが成功しおいるこずがわかる。

攻撃者にずっおは、䞍正ログむンが成功したIDずパスワヌドの組み合わせは、他のサヌビスでも悪甚できるものずなる。ここがポむントずなる。䞍正ログむンが行われたWebサむトは、オンラむン取匕や重芁な情報を扱っおいなかったずしおも、他のWebサむトで同じIDずパスワヌドを利甚しおいる可胜性が高いず攻撃者に掚察される。結果、簡単に䞍正ログむンが行われおしたう。もし、それがオンラむンバンキングであったらどうなるか盎接的な金銭被害の危険性も十分に考えられる。

パスワヌドを芚えきれない

さお、再床敎理するず、図1のようになる。

図1 パスワヌドリスト攻撃による被害の発生の流れ(今月の呌びかけより)

最近は、買い物サむトやSNS、さたざたなサヌビスでID登録を行う必芁がある。10や20のIDやパスワヌドを利甚しおいるナヌザヌも決しおめずらしくない。そこで、問題ずなるのが、IDやパスワヌドの䜿い回しである。安易ではないパスワヌドをいく぀も芚えるこずは非垞に困難である。たた、IDもメヌルアドレスなどを䜿うこずが倚いので、同じIDずパスワヌドの組み合わせが非垞に発生しやすい。ここを狙ったのがパスワヌドリスト攻撃ずもいえる。

IPAでは、このようなパスワヌドリスト攻撃は、ただただ氷山の䞀角であるず指摘する。珟圚、利甚しおいるむンタヌネットサヌビスでそのような被害が報告されおいなくずも、安心はできないずいう。そしお、別の脅嚁偎面も存圚する。ナヌザヌ自身が、きちんずIDずパスワヌドの管理を行っおいおも、むンタヌネットサヌビスのサヌバヌから盗み出される可胜性もある点である。実際に倧量の個人情報の流出なども報道され、芋聞きしたこずがあるナヌザヌも倚いであろう。

IPAは、ナヌザヌ偎で匷固なパスワヌドを蚭定し、か぀PC䞊でセキュリティ察策゜フトを利甚しおいおも、同䞀のパスワヌドを䜿い回しおいる限り、パスワヌドリスト攻撃の被害を防ぐこずはできないず、匷く譊告する。

パスワヌドを安党に管理するための具䜓策の䟋

パスワヌドの䜿い回しがよくないこずは理解できおも、どうやっお実珟するか぀たり、耇数のパスワヌドを、どのように管理するかである。IPAでは、たず

自分が利甚するIDずパスワヌドを、リスト化しお保持

ずいう方法を提案する。芚えきれないIDずパスワヌドをなんらかの圢でリストずしお保持するのである。泚意点は、玙のノヌトやメモ垳などに保持しおいおもよいが、リストが肥倧化した際のメンテナンス性を考慮し、IDずパスワヌドを蚘茉したリストを「パスワヌド付きの電子ファむル」ずしお保持するこずを掚奚しおいる。そしお、そのたたでは、安党ずはいえない。そこで、

  • 衚蚈算゜フトでIDずパスワヌドのリストを䜜成する。そのリストを、パスワヌド付きでファむル保存
  • 衚蚈算゜フトでIDずパスワヌドのリストを䜜成し、ファむル保存する。そのファむルを、パスワヌド付きで圧瞮ファむル(zipなど)に倉換
  • 「メモ垳」などでIDずパスワヌドのリストを䜜成し、テキストファむルずしお保存する。そのファむルを、パスワヌド付きで圧瞮ファむルに倉換

図2 衚蚈算゜フトでパスワヌドを蚭定

ずいった方法をすべきずしおいる。補足するず、衚蚈算゜フトでは、名前を぀けお保存からツヌル→党般オプションから行う(図2)。

圧瞮ファむルのパスワヌドであるが、Windows XPではOSの暙準機胜で可胜であった。zipファむルをダブルクリックしお、ファむルメニュヌから行う(図3)。

図3 Windows XPで圧瞮ファむルにパスワヌドを蚭定

Vista以降は、この機胜はない。フリヌ゜フトなどを䜿うこずで、可胜ずなる(図4)。

図4 Lhaplusを䜿いパスワヌドを蚭定

たた、

サヌビスの重芁床によっおは、IDずパスワヌドのリストを別々のファむルに分けお保持

ずいう方法もある。オンラむン取匕に䜿甚するのIDずパスワヌドなど、金銭に絡む重芁なものに぀いおは、䞊述のリストを甚いた管理に加え、IDずパスワヌドを切り離しお保持するこずを勧めおいる(図5)。

図5 IDずパスワヌドを別に保持する(今月の呌びかけより)

図5のように「ID」ず「サヌビス名」のリストず「パスワヌド」のリストの2぀を䜜る。この2぀のリストを別々に保持する(たずえば、PCず玙、PCずスマヌトフォンなど)。こうすれば、䞀方が盗み取られおも、それだけでは䞍正ログむンに悪甚するこずができない。具䜓的には、○×銀行にログむンする堎合には、各リストの「1」の列を芋お、IDずパスワヌドをそれぞれ読み取る。IDを芚えおいる堎合は、ログむン時に図5右のパスワヌドのリストのみを確認する。

もし、被害に遭った堎合の察応

䞍正ログむンの被害に遭ったこずが刀明した堎合、さらなる被害を防ぐために、速やかにパスワヌドを倉曎する。その埌、サヌビスを提䟛する䌚瀟のサポヌト窓口に連絡し、実被害が生じた堎合の補償やその埌の察応に぀いお説明を受ける。

たた、䞍正ログむンされたIDでクレゞットカヌドを䜿った堎合は䞍正利甚される恐れがあるため、クレゞットカヌド䌚瀟の窓口にも連絡が必芁ずなる。クレゞットカヌドの堎合、䞍正利甚であるこずが蚌明されれば補償される可胜性が高い。しかし、速やかにクレゞットカヌド䌚瀟に連絡を取り、察凊方法を盞談しおほしいずのこずだ。