2015年7月31日金曜日

ウェブサービスのID・パスワード管理は意外とお粗末! 流出する危険性も高い その対策とは?

総務省がウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査を行った結果が以下のサイトで公開されています。

 総務省|ウェブサービスに関するID・パスワードの管理・運用実態調査結果 平成27年7月30日
 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html

3割の企業が不正ログイン被害の経験があると回答していますが、パスワード保管時の対策で約3割が暗号化しておらず、不正ログインを見分ける同一IPからのログイン試行回数制限を実施しているのは約4割に留まるなど、ID・パスワード管理はお粗末です。


また、ウェブサービスのIDは、半数近くがユーザが登録したメールアドレスを利用していたそうです。

これでは、パスワードが流出し悪用される危険性は充分高いです。そのため、ウェブサービスの利用者は、パスワードが流出し悪用されても、被害が少なくなるように考え、ウェブサービスを利用することが必要です。



■ ウェブサービスを利用するときのID・パスワードで注意したいこと



(1) パスワード設定が甘い(パスワードの文字列長が8桁未満も認めているサービスなど)ウェブサービスは利用しない。
 


(2) ウェブサービスのIDに使うメールアドレスは、通常使っているメインのメールアドレスは使用せず、Webメールの別名(メールエイリアス、セーフティーアドレス)を利用する。

 

(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)。他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。

 

(4) パスワードを定期的に変更し、知らないうちにパスワードが流失し悪用されているのを防ぐ。

 

(5) パスワードを強化する2段階認証を活用する。2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

 

(6) 口座やクレジットカードの明細を定期的にチェックする。クレジット・カードなどの明細は、おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺にあったりしていないか監視する(不正な請求がないか確認)。



■ ウェブサービスに関するID・パスワードの管理・運用実態調査結果 概要

下記の総務省のサイトの情報から、ID・パスワードの管理・運用実態調査結果の概要を紹介します。詳しくは、下記サイトを参照下さい。

 総務省|ウェブサービスに関するID・パスワードの管理・運用実態調査結果 平成27年7月30日
 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html



■調査対象企業概略

・回答を得られた企業のうち、3割が不正ログイン被害の経験があると回答している。発見できていない場合も考慮すると、より高い割合で被害にあっていることが推測される。

■不正アクセスの被害有無と料金モデル

・回答を得られた企業の約3割が不正アクセスの被害を受けていた。

・有料を含むサービスを提供している企業のみに限定すると、被害率が上がり、5割の企業が不正アクセス被害を受けている。


■IDの初期設定値

・Webサービスを利用する際のIDについて初期値を誰が決定しているのか調査を行った。約7割が事業者側で設定していると回答している。

・事業者が設定しているIDが何に基づいて設定されているのかを見ると、半数近くがユーザが登録したメールア
ドレスを利用していた。


■ユーザが設定可能なパスワード

・ユーザが設定可能なパスワード文字種については大文字・小文字・数字の3種は約9割で利用可能であり、多くの企業で複数文字種への対応がなされていることが確認できた。

・設定可能な最小文字列長は5割以上が8桁以上の設定を必要としているが、1割強の企業では未だ4桁以下であった。

・最大文字列長については、未だ4分の1の企業において12桁に満たず、利用者が強いパスワードを設定したくとも設定できない状況になっている。


■企業のパスワード管理状況1

・パスワード保管時の対策については、暗号化の適用が約7割、ハッシュ化の適用については6割弱の企業が実施していた。(これは、暗号化を適用していないのは約3割、ハッシュ化を適用していないのは約4割強とも読めます)

・ハッシュ化の対策は有料を含むサービスでは約7割実施しているのに対し、無料のみのサービスでは3割の実施に留まり、無料のみのサービスを提供する企業ではハッシュ化が普及していないことが分かった。

(注)暗号化されたものは、復号化すると元に戻りますが、ハッシュ化されたものからは元へは「戻らない」性質があり、より強固にパスワードを保護できます。


■企業のパスワード管理状況2

・パスワードのハッシュ化を行っている企業の内、5割の企業がソルト、ストレッチングいずれかの保護強化の取組を実施しており、ソルトの実施は約4割、ストレッチングの実施は2割強であった。


■同一ID・IPに対する不正ログイン対策状況
・同一IDに対してパスワードを変更しながらログインを試行するブルートフォース攻撃への対策の1つとして考えられる同一IDに対するログイン試行回数の制限は約8割の企業が行っており、積極的な対策が行われていることが明らかとなった。

・一方、リバースブルートフォース等のIDを変えながらログインを行う攻撃への対策の1つとして考えられる同一IPからのログイン試行回数の制限について調査したところ、実施しているのは約4割に留まり、同一IDに対するログイン試行制限に比べ、導入が進んでいない。