プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

パスワード使いを含む記事

このエントリーをはてなブックマークに追加
0114_11
(画像は同社のWebサイトより)

ネットワークセキュリティ管理ツール「LanScope Cat」などを開発しているエムオーテックス株式会社(大阪市淀川区)は、独自にネット上で調査した結果として、ネット利用者の3人に1人が同じパスワードで複数のWebサービスを利用していると発表しました。

これは昨年から同社が展開している「NO MORE情報漏えい」プロジェクトの一環として、特設サイト上でアンケート調査を行った結果として発表されたものです。

http://www.motex.co.jp/nomore/report/1105/

(私のコメント)
パスワード使い回しに関しては、何年も前から危険性が指摘されていますが、年を経過するに連れて大きな問題となり、これを利用したパスワードリスト攻撃が多発するようになりました。これらを受けて、昨年にはIPAとJPCERT/CCが共同してキャンペーンを張るなどしていますが、なかなか抜本的な解決が見えていないのが現状です。今回の結果は3分の1の利用者ということで、従来の調査結果よりはかなり改善しているようにも見えますが、専門情報サイトでの調査結果ということで、対象者の意識が少し高めなのではないかとも思います。まだまだパスワード使い回しの状況は改善されていないと思います。

特設サイトには他にも興味深い記事が沢山ありますので、ご紹介いたします。
徳丸先生!正しいパスワード管理について教えて!
http://www.motex.co.jp/nomore/column/1036/
パスワード管理ツール「1Password」無料版を使ってみた!
セキュリティ度が格段に上がるうえに、とにかく便利!!
http://www.motex.co.jp/nomore/trend/1071/

このエントリーをはてなブックマークに追加
31

「パスワード使い回し」による問題はどうすれば解決するのでしょうか?それに対する抜本的な解決策として、Google/Microsoft/Paypal/VISA/MasterCardなどの企業が連合を組んで取り組んでいるのが「FIDO(ファイド)アライアンス」です。FIDOが国内での初お披露目となるセミナーを10月10日に東京電機大学で開催し、私も参加してきました。大勢の参加者が集い、FIDO関係者を中心に多くの専門家がお話してくれましたが、その内容を私なりにまとめておきます。

19

FIDOがやりたいことは、
・IDとパスワードだけに頼った本人認証をやめ、もっと信頼性のおける認証方式を世界に広めたい。
・ライセンスフリーな方式を確立することで、各企業が安心して採用できるようにしたい。
・技術的には、公開鍵暗号方式を採用する。
・FIDOとしては認証方式を確立するだけであって、認証局もデータベースも持たない。
・特にFIDOが規定するのはサーバーと端末間のやりとりであって、端末側での認証には生体認証でもUSBキーでも、どんな方式を使用しても構わない。
・パスワードを全く使用しない認証であるUAF(Universal Authentication Framework)と、現在のシステムに追加して二要素認証として使用するU2F(Universal 2nd Factor)の2つのプロトコルをサポートする。
・FIDOがやりたいのは認証自体の強化であって、OpenIDやOAuthなどの共通認証とはぶつからず、むしろ助け合う関係にある。
ということのようです。

19

国内ではヤフーが乗り気のようで、Yahoo! JAPAN研究所の五味さんが、日本語のチャートでかなり分かりやすく説明してくれました。

36

また、GoogleのSam Srinivas氏は、USBキーを使用した二要素認証をFIDOのU2Fプロトコルを使用して始めると発表しました。実際に10月21日から、Googleの全サービスにおいてUSBキーを使用した二要素認証が始まりました。

(FIDOアライアンスWebサイト・英文のみ)
https://fidoalliance.org/
(当日のプログラム詳細)
http://www.dds.co.jp/fido_tokyoseminar/
(GoogleのUSBキー方式の二要素認証開始の記事)
http://internet.watch.impress.co.jp/docs/news/20141022_672433.html
https://support.google.com/accounts/answer/6103523

(私のコメント)
このFIDO方式の普及により、パスワード使い回しの問題が解決できるとすれば、本当に嬉しい限りです。10年後、「USB」や「WiFi」のように、「FIDO認証」という言葉が一般語になるのかどうか、未来が本当に楽しみです!


このエントリーをはてなブックマークに追加
2013-08-16_2217
(画面は同社Webサイトより)

株式会社サイバーエージェント(東京都渋谷区)は、8月12日付で、同社の運営するネットワークサービス「Ameba」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

ただし、今回の不正アクセスにおいては、個人情報の閲覧は発生していないそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.cyberagent.co.jp/info/detail/id=7874
http://www.cyberagent.co.jp/info/detail/id=7919

(私のコメント)
国内著名サイトで「パスワードリスト攻撃(パスワード使い回しによる不正アクセスのこと)」が頻発しています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底してください。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html


このエントリーをはてなブックマークに追加
2013-08-09_0820
(画面は同社Webサイトより)

株式会社リクルートライフスタイル(東京都千代田区)は、8月7日付で、同社の運営する「じゃらんnet」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

不正アクセスにより閲覧された可能性がある個人情報は、利用者の「氏名」「住所」「電話番号」「メールアドレス」「予約履歴」など約2万7千件とのことで、該当する利用者にメールで今回の事件を連絡しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.jalan.net/jalan/doc/howto/kokuchi130807.html

(私のコメント)
「パスワード使い回しによる不正アクセス」改め「パスワードリスト攻撃」ですが、国内著名サイトで頻発しています。今回のリクルートライフスタイル社の発表では、事業者側の責任やお詫びというトーンはかなり抑えられたものとなっています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底するしかないと思います。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html



このエントリーをはてなブックマークに追加
2013-08-08_2326
(画面はGREEのプレスリリース)

グリー株式会社(東京都港区)は、8月8日付で、同社のネットワークサービスに対して不正アクセスが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、GREE利用者の「氏名」「ニックネーム」「携帯メールアドレス」「地域(都道府県)」「生年月日」「性別」「コイン履歴情報」など約4万件とのことで、該当する利用者にメールで今回の事件を報告した上で、ログインを停止しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://corp.gree.net/jp/ja/news/press/2013/0808-02.html

(私のコメント)
これまで「パスワード使い回しによる不正アクセス」とタイトルに記載していましたが、これに「パスワードリスト攻撃」という名称がつけられたようですので、今後は表記をこちらに統一します。

このエントリーをはてなブックマークに追加
2013-07-30_1942
(画面はCCCのリリース)

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)は、7月26日付で、同社が運営する「Tサイト」(TポイントのWebサイト)に不正アクセスがあり、Yahoo!Japan IDとの紐付けが行われた後に該当カードが保有していたTポイントが不正に使用されたと発表しました。

26日までの時点で、Tポイントが不正に利用されたと同社に連絡した人が27人だったという。また「Tサイト」においてお客様登録情報の一部を非表示にする措置を講じたため、今回の手口による不正利用については対策を実施済みという。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他の方法で入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.ccc.co.jp/company/news/2013/20130726_003665.html

(私のコメント)
本件も「パスワード使い回しによる不正アクセス」の一例になるはずですが、今ひとつ実態がよく分からないです。「お客様登録情報の一部を非表示にする措置を講じたため〜」の部分はどう理解するべきなんでしょうか。(どなたか分かる方は教えて下さい)

Tサイトに関しては、Tポイントカード番号と生年月日が分かれば登録できるので、その穴を突かれたのではと思いましたが、同社ではそういう説明はしていないです。また、全ての利用者がTポイントの残額を日々チェックしているわけではないと思われるので、実際には被害者はもっとたくさんいると思われます。


このエントリーをはてなブックマークに追加
2013-07-30_1007
(画面はNTTコム社のリリース文)

NTTコミュニケーションズ株式会社(東京都千代田区)は、7月24日付で、自社のネットワークサービスであるOCNのサーバーに不正なプログラムが混入しており、最大で400万件のIDと暗号化済みパスワードが流出した可能性があると発表しました。その後の調査により実際に流出があったことが判明し、同社では26日から、OCN IDを使用して他のサービスにログインできる機能を停止しています。

また、LINE株式会社(東京都渋谷区)は、7月19日付で、自社の運営するNAVERサービスのサーバーに不正アクセスがあり、約170万件のメールアドレス、ハッシュ化されたパスワード、ニックネームが流出した可能性があると発表しました。

http://www.ntt.com/release/monthNEWS/detail/20130724.html
http://www.ntt.com/release/monthNEWS/detail/20130725_2.html
http://www.ntt.com/release/monthNEWS/detail/20130726.html (NTTコムのリリース)
http://linecorp.com/press/2013/0719581 (LINE株式会社のリリース)

(私のコメント)
国内の大規模なネットワーク事業者に対する外部からの総攻撃が始まっているという印象を受けます。大規模な認証サーバーを狙い撃ちして情報を持ち出し、そこで得たID、パスワードを使用して「パスワード使い回し」のアカウントを狙って他のサービスに不正アクセスするという手法を取ろうとしているのだと思います。何度でも書きますけど、被害にあいたくないなら「パスワードの使い回し」をしないでください。

http://www.pmarknews.info/archives/51891461.html

ちなみに、今回の流出のケースでNTTコムは「暗号化されたパスワード」、LINEは「ハッシュ化されたパスワード」だったと説明しています。理論上はとりあえず安心していいはずなのですが、こんなに大量に盗み出されたとすると、大量の高速コンピュータでありとあらゆる可能性を試した場合には、暗号化やハッシュ化のロジックが破られる危険性がないとは言えないと思います。(暗号化とハッシュ化の違いは下記のURLをご参照ください)

http://www.pmarknews.info/archives/51740255.html



このエントリーをはてなブックマークに追加
2013-07-23_0948
(画面はニフティのプレスリリース)

ニフティ株式会社(東京都新宿区)は、7月17日付で、同社のWebサイトに対して不正なログインが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、ニフティ利用者の「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」約2万1000件とのことです。

同社では、該当する利用者にメールで個別に連絡を取り、パスワードの再設定を呼びかけるそうです。また、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、何らかの方法で(他社より)入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.nifty.co.jp/cs/newsrelease/detail/130717004246/1.htm

(私のコメント)
これも「パスワード使い回しによる不正アクセス」の一例です。まだまだ啓発が必要だと思いますので、当分の間、同様の事例について積極的に本Blogで取り上げようと思います。

このエントリーをはてなブックマークに追加
2013-07-12_2208
(画面は楽天市場より)

楽天株式会社(東京都品川区)は、7月10日付で、同社のWebサイトに対して不正アクセスが発生し、同社の楽天スーパーポイントが不正に取得されたと発表しました。

同社では、今回の不正アクセスは他社から流出したIDとパスワードの組み合わせが使用されたものと断定しており、他社サイトと同じパスワードを使い回ししないようにと呼びかけています。

http://event.rakuten.co.jp/edy/news/index.html

(私のコメント)
今年に入って多発している「パスワード使い回しによる不正アクセス」の一例です。まだまだ啓発が必要だと思いますので、当分の間、同様の事例について積極的に本Blogで取り上げようと思います。



このエントリーをはてなブックマークに追加
bomb


今年に入って、国内著名Webサイトへの不正アクセスが相次いでいます。

それらの不正アクセスの特徴は「少ない回数で正確なパスワードを当てている」ということです。すなわち、何千回何万回もいろんなパスワードを試して認証を突破するのではなく、僅かな回数でそこを突破しているのです。これはどういうことでしょうか?

これは「パスワード使い回し」を突いたものと思われます。こういうことです。

0)ユーザーが、セキュリティレベルが低い無料サービスAと、セキュリティレベルの高い著名サービスBに同じパスワードを設定する。
1)悪意のハッカーが、Aから大量のIDとパスワードを盗み出す。
2)悪意のハッカーは、Aから盗み出したIDとパスワードの組み合わせをBのログイン画面に入力してみる。
3)悪意のハッカーは、難なくBにログインできてしまう。

この問題は以前から指摘されていますし、従来からも頻発していたと思いますが、サービス事業者から公表されることがあまりありませんでしたので、実態が明確ではありませんでした。今回は、複数の事業者から不正アクセスの詳細が公表されたために、このタイプの不正アクセスの存在が明確になった次第です。

では、ユーザーとしてはどうすればいいのでしょうか?答えは明確です。一つ一つのサービスに別々のパスワードを設定するようにすればいいのです。それには、記憶に頼るのではなく、何らかのツールが必要です。下記の記事で、スマホを利用したパスワード管理術を書いてますので、参考にしていただければと思います。

http://jbpress.ismedia.jp/articles/-/34537
(全文を読むにはJBPRESSへのユーザー登録が必要ですが、無料です)

(私のコメント)
このパスワード使い回しの件に関しては、過去からも、何回もこのBlogで取り上げています。しかし、今回、NHKニュースでも「パスワード 使い回しはやめて」というタイトルで放送されているようです。もうこの件は待ったなしです。知らない間に不正利用の餌食にならないためには、各自での対策が必要です。是非、自分なりのパスワード管理方法を確立して、ネット時代を乗り切っていただきたいと思います。

↑このページのトップヘ