JPCERT コーディネーションセンター

STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

プレスリリース
2014年9月17日
独立行政法人情報処理推進機構
一般社団法人JPCERT コーディネーションセンター
STOP!! パスワード使い回し!!
パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター、代表理事:歌代 和正)は、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう呼びかけます。
 複数のインターネットサービスで同じパスワードを使い回していることが原因で生じてしまうユーザアカウントへの不正なログイン、いわゆるパスワードリスト攻撃による被害が以下の通り(図1)継続的に発生しています。

picture1.png
図1:公表情報を元にJPCERT/CCが集計した被害企業の推移



1. 概要
 パスワードリスト攻撃とは、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを使用し、自動的に入力するプログラムなどを用いて、ログイン機能を持つインターネットサービスにログインを試みる攻撃手法です。もし利用者がIDとパスワードを使い回していると、第三者によるなりすましログインを可能にしてしまいます。

picture2.png
図2:パスワードリスト攻撃の概要


 インターネットサービスの安全な利用は、利用者が適切にパスワードを管理することを前提に成り立っており、利用者はパスワードを使い回さず、適切に管理する責任があります。
 以下はパスワードリスト攻撃を受けたことを2013年4月以降に発表した企業のうち、「試行件数」と「成立件数」の両方が公表された主なものです。

表1:パスワードリスト攻撃による被害例
被害企業 不正ログインの試行件数(A) 不正ログインの成立件数(B) 不正ログイン成立率※(B/A)
A社 約4,600,000 78,361 約1.70%
B社 2,293,543 38,280 1.67%
C社 2,203,590 219,926 9.98%
D社 約4,300,000 263,596 約6.13%
E社 約1,600,000 2,398 約0.15%
F社 3,420,000 15,092 0.44%
G社 1,796,629 14,399 0.80%
※「不正ログイン成立率」は、企業が公表した数値(AおよびB)を基に、JPCERT/CCが算出したものです。


 IPAが2014年8月に発表した報告書*1では実際に、利用者がパスワードを使い回していることを裏付ける結果が出ています(図3)。調査結果によれば、金銭に関連したサービスサイト(インターネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合が約4分の1(25.4%)となっています。

picture3.png
図3:パスワードの使い回しの状況(IPAによるアンケート調査結果)


 また、以下図4は“パスワードを使い回している理由”についてです。
 最も多いのは「(パスワードを同一にしないと)パスワードを忘れてしまうから」で、64.1%を占めています。
picture4.png
図4:同一のパスワードを使う理由


 以上の結果から“パスワードを忘れてしまうから、パスワードを使い回している”ことが分かります。このことから“複数のパスワードを忘れずに管理できる方法”が、パスワードを使い回さずにインターネットサービスを利用する有効な手段と考えられます。

 IDとパスワードを使用するインターネットサービスの利用者は、「2. 対策」を参考に必要な対策を実施してください。


2. 対策
 IDとパスワードの使い回しにより不正ログインの被害に遭うような事態を招かないため、改めて以下の対策を実施してください。

[対策]
(1) パスワードの使い回しを避けるための適切な管理方法
 複数のインターネットサービスを安全に使用するには、異なるパスワードを設定する必要があります。しかし、全てを記憶することは簡単なことではありません。そこで“どのように管理するか”が重要となりますが、一覧表として保持することが現実的な解となります。以下に具体的な方法を例示します。

a. 紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。そのため、第三者が見てもわからないように記載する必要があります。

b. 電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。電子ファイルには、表計算ソフトやテキスト編集ソフトを使います。その電子ファイルにパスワードを設定して保存します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。なお、テキスト編集ソフトの場合はファイルにパスワードはかかりませんので、圧縮ファイルでパスワードを設定します。

c. パスワード管理ツール
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。ツールに、“利用しているサービスの ID・パスワード”と“ツールを起動するためのマスターパスワード”を登録しておきます。そのマスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができます。また最近ではインターネットサービスの認証まで自動で行うツールもあります。こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がありません。

(2) 不正なログインに気付く、または防止するための機能
一部のインターネットサービスでは、不正なログインにユーザが気付ける機能が提供されている場合がありますので、各サービスの特徴を理解し、利用してください。

a. ログイン通知
通常とは異なるIPアドレスや国などからログインが行われた場合に、メール等で通知を受けることで、不審なアクセスに気付くことが可能です。

b. ログイン履歴
ログインした時刻、アクセス元(IPアドレス、国等)、URL等の履歴に自分がログインしていない時間のログイン履歴や、見覚えのない地域からのログイン履歴が無いか確認し、不審なアクセスの有無を確認できます。

c. 認証コード
IDとパスワードに加え、予め登録しておいた携帯電話等に送信された認証コードを使用してログインを行う、二段階認証という仕組みです。認証コードは一定ではなく、時間経過やログインのたびに変化するため、窃取されても再利用ができず不正アクセスを防ぐことが可能です。

d. ワンタイムパスワード(OTP)
ログイン時に一定時間だけ有効なワンタイムパスワードを生成する機器やソフトウェアを併用し、ログインに複数の認証情報を用いることで、不正ログインを防ぐことが可能です。


3. 参考情報

「2013年8月の呼びかけ」
(独立行政法人情報処理推進機構(IPA))
https://www.ipa.go.jp/security/txt/2013/08outline.html

4. パスワードリスト攻撃の被害に関する連絡先

(1) 発見報告・被害報告・被害対応依頼
「JPCERT/CCインシデント報告」
E-mail: info@jpcert.or.jp
FAX: 03-3518-2177
※インシデント報告以外のものは 03-3518-4602 宛にお願いします。
Webフォーム: https://www.jpcert.or.jp/form/#web_form

(2) 相談先
「IPA情報セキュリティ安心相談窓口の問合せ先」
電話: 03-5978-7509
(相談対応員による対応は、平日の10:00~12:00および13:30~17:00)
E-mail: anshin@ipa.go.jp
FAX: 03-5978-7518
郵送: 〒113-6591 東京都文京区本駒込2-28-8  文京グリーンコートセンターオフィス16階
    情報処理推進機構 セキュリティセンター「情報セキュリティ安心相談窓口」宛

■本件に関するお問い合わせ先
・IPA 技術本部 セキュリティセンター 加賀谷/田中
 Tel: 03-5978-7591 Fax: 03-5978-7518
 E-mail: isec-info@ipa.go.jp
・JPCERT/CC 早期警戒グループ 満永/重森
 Tel: 03-3518-4600 Fax: 03-3518-4602
 E-mail: ww-info@jpcert.or.jp
■報道関係からのお問い合わせ先
・IPA 戦略企画部広報グループ 横山/一家
 Tel: 03-5978-7503
 Fax: 03-5978-7510
 E-mail: pr-inq@ipa.go.jp
・JPCERT/CC 事業推進基盤グループ 広報 江田(こうだ)
 Tel: 03-3518-4600
 Fax: 03-3518-4602
 E-mail: pr@jpcert.or.jp

-----------------------
*1 2014年8月5日IPA発表:「オンライン本人認証方式の実態調査」報告書について
https://www.ipa.go.jp/security/fy26/reports/ninsho/index.html


JPCERT/CC 「STOP!パスワード使い回し!」キャンペーンご賛同企業募集 https://www.jpcert.or.jp/pr/2014/pr140005.html

Topへ

Topへ
最新情報(RSSメーリングリストTwitter