2018年3月27日 (米国時間)、US-CERTのカレントアクティビティにて、適切なパスワードの設定・管理方法が取り上げられました。同日に発行された注意喚起 (US-CERT Alert TA18-086A) によれば、1つのパスワードを複数のアカウントに対して試みるパスワードスプレー攻撃[1]などが頻繁に行われているとのことです。
US-CERT にて取り上げられた攻撃以外にも、リスト型攻撃やID、パスワードを狙っていると推測されるフィッシングメールなどの攻撃は、日本国内でも複数報告されています。利用するパスワードの設定方法やログイン履歴などを確認し、IDやパスワードの適切な管理を心掛けてください。
US-CERT
Creating and Managing Strong Passwords
https://www.us-cert.gov/ncas/current-activity/2018/03/27/Creating-and-Managing-Strong-Passwords
US-CERT Alert (TA18-086A)
Brute Force Attacks Conducted by Cyber Actors
https://www.us-cert.gov/ncas/alerts/TA18-086A
パスワードの設定、管理では、次にあげる方法が推奨されます。[2] [3] [4] [5]
推奨されるパスワード設定方法
- 多要素認証が有効な場合は使用する
- 異なるシステムに対しては異なるパスワードを使用する
- 電話番号や誕生日など、個人情報を基にした文字列は使用しない
- 可能な限り長い文字列を使用する
- 特定の言語の辞書に載っているような単語を使用しない
推奨されるパスワード管理方法
- パスワードを他人に教えない
- パスワードを他人の目につく場所に残さない
- パスワードを入力する対象が本来意図したもの (サイトなど) であることを確認する (サーバ証明書など)
- パスワードを入力する際には、周囲から覗き込まれていないことを確認する
- ネットワークを介してパスワードを送信する際には、通信経路が暗号化されていることを確認する
- パスワードを聞き出すようなフィッシングメールや電話に注意する
また、パスワード情報を管理するシステムを運用するシステム管理者においては、ユーザのパスワード情報がシステム側から漏洩することがないよう、次のような対策が推奨されます。[6] [7]
システム側での対策方法
- 多要素認証の仕組みを導入する
- ユーザがパスワードを忘れてしまった場合のリカバリ方法について、適切に設定を行う
- アカウントロックの仕組みを導入し、適切に設定を行う
- ユーザのパスワードは、ソルトやハッシュ、ストレッチングを利用し、適切に保管する
また、管理者は、新年度に入り不要になったり有効期限が切れたりしたユーザアカウントを確認し、削除するなどの対応も検討してください。
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
参考情報
[1] | マイクロソフト株式会社 |
Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御 | |
https://blogs.technet.microsoft.com/jpazureid/2018/03/19/password-spray/ | |
[2] | US-CERT Security Tip (ST04-002) |
Choosing and Protecting Passwords | |
https://www.us-cert.gov/ncas/tips/ST04-002 | |
[3] | JPCERT/CC |
STOP!!パスワード使い回し!!キャンペーン2017 | |
https://www.jpcert.or.jp/pr/2017/pr170002_detail.html | |
[4] | JPCERT-WR-2004-4301 |
パスワードの決定 | |
https://www.jpcert.or.jp/tips/2004/wr044301.html | |
[5] | JPCERT-WR-2006-1801 |
パスワードの取り扱いについて | |
https://www.jpcert.or.jp/tips/2006/wr061801.html | |
[6] | US-CERT Security Tip (ST05-012) |
Supplementing Passwords | |
https://www.us-cert.gov/ncas/tips/ST05-012 | |
[7] | JPCERT-WR-2007-3602 |
Web アプリケーションのパスワード管理 | |
https://www.jpcert.or.jp/tips/2007/wr073602.html |