第2回 パスワードリスト攻撃へのユーザとしての対策

IT・IT製品TOP > Key Conductors > 乗口 雅充(株式会社セキュアスカイ・テクノロジー) > 第2回 パスワードリスト攻撃へのユーザとしての対策
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第2回 パスワードリスト攻撃へのユーザとしての対策

エンドポイントセキュリティ 2014/03/20

 今回は、ユーザ個人としてパスワードリスト攻撃に対してどのような心構えと対策が必要なのかを考えてみます。

「ここがハッキングされたら仕方がない」という考え方

 まず、情報漏洩を起こしたサービスの提供者がその事実を発見する前に、不正入手されたID/パスワードでログインされるケースを考えてみましょう。これに対してユーザ側ではほとんど為す術がなく、サービス提供者側で自社サイトの監視やユーザからの苦情などによって不正アクセスを発見し、迅速にアカウントロックやユーザへの通知などの対応を行ってもらわなくてはなりません。それ以前に、情報漏洩の可能性があれば、その影響範囲を速やかに特定して関係するユーザに通知し、アカウントロックやパスワード変更要請を行う対応も必要になります。
 利用しているサービス業者にそうした対応が期待できるかどうかは大事な判断ポイントです。極めて簡単な対策として、「有名で実績があるサービスを選ぶ」という方法があります。新興クラウド業者やユーザ数の少ないニッチなサービスは利用せず、例えばセキュリティやコンプライアンスに敏感な金融機関や政府機関などが利用しているサービス、あるいは一流企業が運営しているサービス、グローバルに展開していて実績豊富なサービスだけを利用するという考え方です。そうした業者なら十分なセキュリティ対策を施している場合が多いからです。求めるサービスで複数の選択肢がある場合には、こうした視点での評価を考慮すべきでしょう。

ユーザID/パスワードの使い回しをしない

 次に、攻撃者がパスワードリストを何らかの方法で入手し、それを利用して他のサービスへの不正ログインを試行する場合を考えてみましょう。これを防ぐには、ユーザIDとパスワードのセットの使い回しをしないことが最も有効です。 しかし現在のように1人が数十のサービスを利用しているような環境では、ID/パスワードのセットを記憶し切れないことが問題です。「ユーザIDはメールアドレス、パスワードは覚えていられる数パターンのみ」というケースが多く、これは明らかに危険です。
 記憶できないID/パスワードセットは、現実的にはリスト化して何かに記録しておく必要があります。手帳に記入しておいたり、スマートフォンの「パスワード管理」アプリを利用したりする手がありますが、紛失した場合にすべてのサービスにログインできなくなる可能性があり、また拾得者による不正使用の懸念もあります。
 そこでお奨めなのが、暗号化したファイルとしてID/パスワードリストを保存することです。パスワードつきの文書ファイルとするのもよいでしょう。モバイルPCならHDDの暗号化も施しておくとより安心です。また、「ID」と「サービス名」のリストをPCで保存し、パスワードのリストは手帳やスマートフォンに記録するという方法もあります。手間がかかりますが、一方を紛失しても安全です。また安全にID/パスワード管理が行えるソフトウェアが各種市販されているので、そうしたツールを利用するのも一手です。

メールアドレスをIDにせず、パスワードは堅牢に

表1 パスワード使用頻度トップ10

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

表1 パスワード使用頻度トップ10
※米ストリクチャーグループ公表内容による。

 パスワードリスト攻撃に限らず、パスワードクラッキングに対しては、メールアドレスをIDに利用しないことと、パスワードをできるだけ強固な、推測されにくいものにする対策は基本的に重要です。

 前回記事で触れたAdobe社のパスワード流出事件では、何者かがインターネットに流出パスワードを公開しましたが、それを米ストリクチャーコンサルティンググループ(SCG)が分析したところ、そのうち190万件で「123456」というパスワードが使われていたということです。

 右表によく使われていたパスワードトップ10を示します。

 入力しやすいキー並びや覚えやすい単語が使われるケースが多いことがわかります。たとえパスワードが流出していなくても、ユーザIDが推測できればかなり高い確率で成りすましログインが成功してしまうでしょう。

 こうしたパスワードを使わず、ユーザIDもできれば簡単に外部から知られないものを使う必要があります。メールアドレスをログインIDにすることが必須のサービスもありますが、できれば他の業者をあたり、独自のIDを利用できるサービスを選びたいものです。また、パスワードはIDと同じものを使わない、パスワードを上表のようなシンプルな文字組み合わせにしない、人名や意味のある単語を使わない、英字(大文字、小文字)・数字・記号などの文字種をすべて使って8文字以上にする、といった作り方が奨められます。ランダムなパスワードを生成する製品やWeb上のサービスもあるので、それらを利用するのもよいでしょう。さらにパスワードは定期的に変更する必要があります。これはかなり面倒な作業になるので、メンテナンスのためにもパスワード管理用のツールがあると便利です。

 他に、「2要素認証」が利用できるサービスを利用するという方法もお奨めです。これについては、次回、企業としての対策を説明するなかで紹介することにします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007086


IT・IT製品TOP > Key Conductors > 乗口 雅充(株式会社セキュアスカイ・テクノロジー) > 第2回 パスワードリスト攻撃へのユーザとしての対策

このページの先頭へ

キーマンズネットとは
1962年、福岡県生まれ。86年鹿児島大学工学部卒業後、株式会社リクルート入社。97年某ネットワーク・インテグレーターのセキュリティ事業を担当し、2006年株式会社セキュアスカイ・テクノロジーを設立し、代表取締役に就任。

ページトップへ