Digital Arts News Watch

悪意を持つ第三者が、なんらかの方法で入手したIDとパスワードを使って、さまざまなWebサービスへ不正なログインを試みる「パスワードリスト攻撃」は、異なるサービス間で同じパスワードを使い回すユーザー習慣を突いた攻撃です。

パスワードリスト攻撃の被害拡大を受け、情報セキュリティの普及啓発活動を行う機関である情報処理推進機構（IPA）は、2014年8月5日、「オンライン本人認証の実態調査」を公表しました。

同報告書には、主なインシデント事例として、「T-SITE」「My JR-EAST」「三越オンラインショッピング」「ニッセンオンライン」「楽天市場」「Ameba」など20件の有名サービスについて、それぞれ、不正アクセスが行われた期間、不正ログインが行われた回数、不正ログイン成功回数などの生々しい数字が掲載されています。下記に引用した表には、成功率が1％を超える例がいくつか含まれていますが、果たしてこの数字、多いのでしょうか、それとも少ないのでしょうか。

実は、パスワードリスト攻撃の成功率は、ランダムな文字列を生成して正しいパスワードを総当たり方式で探す攻撃などと比べて、数千倍も成功確率が高いと言われています。だからこそ、たくさん行われるし、これほど問題視されているわけです。

もちろん理論上は、すべてのサービス間でそれぞれ別のパスワードを使用しさえすれば、パスワードリスト攻撃を完璧に防ぐことができます。ある調査では、9割の人がパスワードを使い回しているそうです。そんな、パスワードを使い回すセキュリティ意識の低い利用者側にも原因があるといった意見もありますが、実際にたくさんのWebサービス別に、すべて異なるパスワードを設定して利用するのは簡単なことではありません。

そこで、サービスを提供する事業者側では、特定の業界が先行する形で、IDとパスワードだけではない認証方式を取り入れつつあります。

この表からは、第2認証や秘密の質問、乱数表やワンタイムパスワードなど、主に「金融」「オンラインゲーム」「ポータルサイト」で、IDとパスワード以外の認証方法が積極的に採用される一方、「通販・物販購入」「交通・運輸・旅行」「学習・教育・就職」などの分野のWebサービスの多くが、認証を依然IDとパスワードだけに頼っている実態が見えてきます。

認証手段を増やせば増やすほどセキュリティは向上しますが、同時にユーザーの利便性は損なわれます。また、サービス提供側のコストも増える一方です。

実は、金融業界では、内閣府所管の財団法人である金融情報システムセンターから「ID・パスワードのみに頼らない認証方式の導入が必要である」という安全基準が明確に文言で示されています。オンラインゲーム業界にも、同様のガイドラインが存在します。

事業者は、こうした業界の安全基準に従って、利用者利便性を損ないコストがかかることを承知の上で、新しい認証方式を導入しているのです。すでに一部の業界でセキュリティ対策実施は、もはや選択するものではなく、事業者側の義務となりつつあるといえるでしょう。
＜記事提供元：株式会社イード＞