1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 「パスワード使い回しはNG」IPAが「パスワードリスト攻撃」の対策を呼びかけ

「パスワード使い回しはNG」IPAが「パスワードリスト攻撃」の対策を呼びかけ

「パスワード使い回しはNG」IPAが「パスワードリスト攻撃」の対策を呼びかけ独立行政法人 情報処理推進機構(IPA)は、8月1日、2013年8月の呼びかけ「全てのインターネットサービスで異なるパスワードを!〜多くのパスワードを安全に管理するための具体策〜」を発表した。この中で、最近発生している「パスワードリスト攻撃」への対策を呼びかけている。

パスワードリスト攻撃は、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のこと。これは、複数のWebサービスで同じパスワードを使い回す利用者が多いという傾向を利用したもので、何らかの方法で事前に入手したパスワードリストを用い、さまざまなWebサービスで、総当たりの攻撃を繰り返し、最終的には利用者の個人情報や金銭などを詐取しようとする。

IPAでは、2013年4月以降、国内の複数のサービスにおいて、パスワードリスト攻撃によるものと思われる不正ログインの被害が多数報告されていることから、「すべてのインターネットサービスで異なるパスワードを設定」するよう対策を呼び掛けている。しかし、利用するサービスごとに異なるパスワードを設定し、管理することには手間がかかるため、IPAでは、複数のパスワードを管理する方法として、「自分が利用するID/パスワードを、リスト化して保持する」と「サービスの重要度によっては、ID/パスワードのリストを別々のファイルに分けて保持する」という2つの方法を紹介している。

具体的には、表計算ソフトでID/パスワードのリストを作成し、パスワード付きでファイル保存する方法が推奨されている。そして、金銭に絡む重要なサービスのログイン情報については、IDとパスワードを切り離して、別々のファイルで保持することが推奨されている。また、IPAの発表では言及されていないものの、ID・パスワードを管理することができる「パスワード管理ソフト」を利用することなども有効な対策の一つだ。

IPAでは、実際に不正ログインの被害に遭った場合の事後対処についても言及している。さらなる被害を防ぐために、パスワードをすぐに変更し、サービス会社のサポート窓口に連絡し、実被害が生じた場合の補償や今後の対応について説明を受けるよう呼びかけている。

IPA 独立行政法人 情報処理推進機構:2013年8月の呼びかけ
異なるパスワードを設定し、リストとして管理するなどの提案:「パスワードの使い回しはやめて」、IPAが呼び掛け - @IT

関連キーワード:

IPA

  • 2013年7月のIT総括
  • カテゴリートップへ
  • パクツイとは