この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

パスワード流出と認証セキュリティ

2012/06/19


 パスワードの大量流出事件が相次ぐなか、ポイント交換などのネットサービスで金銭的被害につながる不正アクセスも横行している。パスワードを漏らさず、また不正アクセスを防ぐ仕組みは、企業システムなら基本的に備えているはず。しかし管理すべきシステムの多さと、Webを利用する外部サービスの利用が企業内でも広く行われるようになったことから、パスワードの運用管理は複雑さを増し、ときにはほころびを見せることも。ネットワーク機器で不正アクセス対策を施してあっても、正しいID/パスワードを悪用されると、ほとんど意味をなくしてしまう。こうした時代に、旧来のパスワード運用管理ではリスクが高まるばかり。今回は、特にパスワードにスポットライトを当て、認証セキュリティを考えてみる。

認証セキュリティ

ネットサービスから大規模流出が相次ぐ

 昨年は、オンラインゲーム関連企業からの億単位の個人情報流出事件、国会や大手軍事関連企業へのサイバー攻撃と、情報を盗み出される事件が相次いだ。また国内ポイント交換サイトに足かけ3日で約6万件の不正ログインがされた事件、人気ソーシャルメディアでパスワード約5万5000件が流出した事件(ほとんどがスパムアカウントとのこと)、さらに今年はソフトウェアのネット販売業者への不正アクセスにより、クレジット情報を含む約26万件の個人情報が流出したと見られる事件も起きた。大規模で深刻な事件が多いその影に、大きく報道こそされないが、会員に突然パスワードリセットを要請する小規模なネットサービスなどのアカウント流出事件も隠れているようだ。
 特に近年リスクが高まっているのが、SNSやマイクロブログの普及とストレージサービスをはじめとする外部サービスの一般化により、社員が気軽に外部サービスにアカウントを作成してしまうことだ。大規模流出の多くは、外部サービス業者の側で起きている。もしも外部サービスのアカウントが流出した場合、攻撃者はその情報を他の情報源と突き合わせて、ID/パスワード、会社のドメインを紐づけできるかもしれない。もし社内システムのログインに同じパスワードを使っていた場合、外部から正規ユーザとして容易にログインできてしまう可能性がある。
 セキュリティに詳しい人なら、「サービスごとに違うパスワードを使う」のは常識と考えるかもしれないが、実際はそうでもない。むしろ約8割の人が、複数サービスに同じパスワードを使い回している。図1はIPAの「2011年度情報セキュリティの脅威に対する意識調査」の結果だ。

図1 パスワードに関する個人PCユーザの意識
図1 パスワードに関する個人PCユーザの意識
2011年度情報セキュリティの脅威に対する意識調査
資料提供:IPA

 PC習熟度の高い人でも7割近くがパスワードの使い回しをしている。またこの表の項目は全部、パスワード運用の基本的な方法とされているものばかりだ。もちろん個人対象の調査なので、ふだんから業務システムを使う会社員ではもっと高い数字になるだろうが、どの項目も数字は驚くほど低い。
 パスワードには情報システムの誕生と同じくらいの歴史がある。それでも安全に運用する意識は一般に低いと言わなければならない。
 こうした意識を変えていく努力は必要だが、そればかりでは改善は望めそうにない。パスワードをうまく運用するルール作りをするほか、ユーザが利便性よく使え、セキュリティが強固な認証システムが必要だ。投資や運用コストをにらみながら、認証システムを見直す時期がきている。
 以下に、リスクと対策とを紹介していく。


1

パスワードを盗み出す手口とは

1-1

古典的なパスワードクラッキング

 パスワードクラッキングは昔から行われ続けてきた。典型的な手口は次のようなものだ。

ソーシャルエンジニアリング

 肩越しにパスワード入力を覗く、紙に書いたメモを盗む、「情報システム部門だが、パスワードを教えて」といった電話やメールにより、ユーザにパスワードを答えさせる、などさまざまな手口がある。

ブルートフォース攻撃

 「総当たり攻撃」ともいい、文字や数字、記号のすべての組合せでパスワードを生成し、全部を試してみる手法。いつかは当たるが、理論的にそれまでに数十年以上かかるようなパスワードが運用されていれば、まず安全と考えられる。

類推による攻撃

 パッケージアプリケーションの導入時に設定されているID/パスワード(デフォルトID/パスワード)のように、ある程度一般的に使われているものは、攻撃者は全部知っていると考えなくてはならない。狙われたら必ず試行される。また覚えやすいIDと、キー入力しやすいパスワードの組合せも要注意だ。もちろん、「suzuki」「sato」などありがちな名前と誕生日の数字などといった組合せも試行される。

辞書攻撃

 パスワードに使われそうな単語の辞書を作成し、順番に試していく方法。英語、日本語合わせて100万語以上の攻撃用辞書が、インターネットから手に入るようになった。

盗聴

 キーロガーなどのスパイウェアを使ってパスワード入力のキー操作を記録、送信したり、ネットワーク上でパケットを捉えて解析したりする手口。

 これら手口とID/パスワードによく使われる(=攻撃者が試行しやすい)文字列については、本コーナー昨年8月の「パスワードクラッキングの手口と認証強化策」で紹介しているので、参照するとよい。
 現在では、こうした手口に加え、次のような心配もしなければならなくなっている。

セキュリティ情報局にご登録頂いた方限定で「パスワード流出と認証セキュリティ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


認証セキュリティ/パスワード流出と認証セキュリティ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「認証セキュリティ」関連情報をランダムに表示しています。

認証セキュリティ」関連の製品

手間やコストを極力かけず、企業ITの認証環境を強化する 【エントラストジャパン】 Entrust(R) Web認証・アクセス制御ソリューション 【エントラストジャパン】
認証 認証
サイバー攻撃の巧妙化、クラウド利用の拡大などによって、今まで以上に認証の重要度は増している。手間やコストを極力かけず、企業ITの認証環境を強化するための勘所とは? 世界中1000万以上のユーザを持つ認証セキュリティ強化ソリューション。
コスト効率に優れ様々な認証を組み合わせ利用可能。
スマートフォンOS対応トークンも提供。

認証セキュリティ」関連の特集


 前回は、セキュリティ規格に基づいた「第三者評価認証の制度」の活用について解説した。今回は、セキュリ…



「金融商品取引法」「内部統制報告制度」がキーワードとして脚光を浴びた時代から数年、内部不正への対策の…



 近年、セキュリティの必要性は、多くの場面で言われており、情報システムを考える際には不可欠な要素とな…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30004698


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ