JPCERT コーディネーションセンター

STOP!!パスワード使い回し!!キャンペーン2016

STOP!! パスワード使い回し!!

~そのパスワードを知っているのは、本当にあなただけですか?~

インターネット上のサービスを利用するにあたって必要なアカウント ID とパスワードが「認証情報」です。この認証情報を狙った攻撃が継続しており、認証情報が流出する事件が国内外で報道されています。

複数のインターネットサービスで、同じ認証情報を使い回すことにより、どれか1つのサービスから認証情報が流出した際に、他のサービスに不正にアクセスされ、不正送金などの金銭的被害に遭う恐れがあります。

【 パスワードを使い回している場合…… 】



【 こんなことが起きるかも! 】



こうした被害のリスクを減らすために、認証情報の使い回しや、単純なパスワードを設定しないように注意してください。また、インターネットサービスで提供されているセキュリティ機能を活用し、インターネットサービスを安全に利用しましょう。


■ 認証情報の設定について
  1. (1) 複数のインターネットサービスで同じパスワードを設定しないようにしましょう


  2. (2) 推測されやすい単純なパスワードを避け、複雑なパスワードを作りましょう
  1. インターネットサービスで利用できる全ての文字種 (大小英字、数字、記号) を組み合わせる
  2. パスワードの文字列は、十分な長さ (8文字以上) にする
  3. 名前、生年月日、数字などの単純な文字の並びは避ける



一方で、サービスごとに異なる複雑な認証情報の設定により、設定した内容を忘れる可能性があります。

次のような方法を参考に認証情報を適切に管理してください。

  1. アカウント ID とパスワードを紙にメモして、人目に触れにくい場所で保管する

    サービスごとのアカウント ID とパスワードをメモしたリストを作り、紙の状態で保管します。アカウント ID とパスワードを別の紙に分けてメモし、鍵をかけられる場所に別々に保管してください。

  2. 電子ファイル (パスワード付き)を使用する

    アカウント ID とパスワードを「パスワード付きの電子ファイル」にメモして保管します。パスワード付きの電子ファイルは、表計算ソフトやテキスト編集ソフトを使って記録・参照できます。アカウント ID とパスワードとを別の電子ファイルで、パスワードを設定して保存します。パスワード付きのファイルを取り扱えないテキスト編集ソフトの場合には、ファイルを圧縮するソフトウェアを用いてパスワードを設定しましょう。

  3. パスワード管理ツールを使用する

    信頼できるパスワード管理ツールを使用し、アカウント ID とパスワードを保管します。多くのパスワード管理ツールでは、ツール起動時に入力するパスワードだけを覚えておき、各インターネットサービスのアカウント ID とパスワードはツールから呼び出して自動入力します。したがって、利用者はツールを起動するためのパスワードを覚えてさえいればよく、サービスごとに異なる複雑なパスワードを容易に管理できます。

  1. ■ インターネットサービスで提供されているセキュリティ機能について

    インターネットサービスによっては、不正なログインを防止したり、発見したりするのに役立つセキュリティ機能が提供されています。提供されているセキュリティ機能を積極的に活用して、インターネットサービスを安全に利用しましょう。
  1. (1) ワンタイムパスワードなどの2段階認証機能を活用しましょう
  1. 携帯電話やトークン(ワンタイムパスワード生成機)などを使用したワンタイムパスワードによる認証

    ワンタイムパスワードによる2段階認証は、アカウント ID とパスワードに加えて、ログイン時に一定時間だけ有効なパスワードを使用してログインを行う仕組みです。ワンタイムパスワードは毎回変化するため、パスワードが盗まれても再利用できず不正なアクセスを防げます。

  1. (2) ログインの履歴を確認しましょう
  1. ログイン履歴確認機能、ログインアラート機能

    ログイン履歴(過去のログイン日時やアクセス元(IP アドレス、国、地域)など)を確認することにより、不正なアクセスを早期に発見できます。また、通常と異なる時間帯やアクセス元からログインした場合にメール等で通知を受ける設定にすることで、頻繁に利用しないサービスについても異常にいち早く気づくことができます。


■ 不正なログインに気づいたら
  1. (1) インターネットサービスのヘルプデスクに相談しましょう
  2. (2) 同じ認証情報を他のサービスで使い回していないかを確認しましょう
  3. (3) 他のサービスでも不正なログインがないかを確認しましょう

■ 参考文献

IPA (独立行政法人情報処理推進機構)
チョコっとプラスパスワード
http://www.ipa.go.jp/chocotto/pw.html

IPA (独立行政法人情報処理推進機構)
パスワード -もっと強く君を守りたい-
http://www.ipa.go.jp/security/keihatsu/munekyun-pw/

警視庁
IDとパスワードの適切な管理
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/security/cyber412.html

Topへ

Topへ

最新情報(RSSメーリングリストTwitter