このページの本文へ

セキュリティの専門家が語る最新の脅威と対策第1回

パスワードリスト攻撃が増加、シマンテックが国内の意識/実態調査

パスワード使い回し、管理者と従業員の意識に“温度差”

2013年11月01日 06時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 シマンテックは10月30日、企業IT管理者および企業従業員を対象とした「パスワード管理」に関する意識/実態調査の結果を発表した。危険性が強く指摘されている“パスワードの使い回し”について、管理者と社内ユーザーの意識に大きな乖離があることが明らかになった。

 調査は日本国内を対象としてWebアンケート方式で行われた。調査対象は企業のIT管理業務従事者(20~69歳)、ネットユーザー(18~59歳、企業従業員や官公庁職員を含む)の各300名で、個別に集計された。

 まずネットユーザー調査では、ID/パスワードの入力が求められるサイトを数多く利用しているにもかかわらず、ID/パスワードの管理は「記憶」に頼っており、結果としてパスワードの使い回しが少なからず生じていることが明らかになった。リスクの高い金融サービス/決済サービスのパスワードに関しても、62%が「1~3種類」のパスワードしか利用しておらず、このおよそ半数がパスワードを流用している、とシマンテックは説明している(残りはパスワード数=利用サイト数のケース)。

ふだん利用しているID/パスワードでログインするサイト数。「5~9個」が29.3%、「10~19個」が23.7%など金融/決裁サービス利用者(n=245)のID/パスワード管理方法。55.9%が「記憶している」と回答
記憶できるID/パスワードの数については「2~3組なら」という回答が52.3%を占める金融/決裁サービス利用者の62%が「1~3種類のパスワードしか利用していない」。このうち半数がパスワードを使い回していると推定される

 次に企業IT管理者、企業従業員(ネットユーザーから該当者を抽出)に対する「企業システムのパスワード」についての調査では、パスワードの流用に対する管理者と従業員の意識差がはっきりと結果に表れた。個人利用のシステムと企業システムでパスワードを分けているか、という質問に対し、「必ず分けるようにしている」と回答したIT管理者は61%いたのに対し、企業従業員は34.3%にとどまった。

個人利用と業務でパスワードを分けているか。IT管理者の6割は「必ず分けている」一方で企業従業員(n=204)では3割強にとどまり、意識していないユーザーも多い

 また、自社システムでリモートアクセス時にどのようなIDを利用しているかというIT管理者への調査では、従業員の氏名やメールアドレス、社員番号など類推可能なIDを利用しているとの回答が55%に上った。

リモートアクセス時のIDに氏名やメールアドレス、社員番号といった類推可能なものを利用しているという回答が過半数。これもリスクの一因となる

個人利用サイトのパスワード漏洩が
企業システムにリスクをもたらす理由?

 今回の調査を実施した背景について、発表会に出席したシマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏は、国内における「パスワードリスト攻撃」の増加を挙げた。IPA(情報処理推進機構)も今年8月、パスワードリスト攻撃に関する注意喚起を発表している。

 パスワードリスト攻撃とは、あるサイト(サイトA)から不正入手したID/パスワードを用いて、別のサイト(サイトBやサイトC)への不正ログインを試みる攻撃のことである。ユーザーがパスワードを使い回していれば、サイトAからの情報漏洩によりサイトB、Cもリスクにさらされることになる。さらに深刻なのは、サイトBやCでは不正ログインを防ぐ手立てがとれないということだ。

シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏「パスワードリスト攻撃」の概要。他社サイトで漏洩したID/パスワードが自社サイトへの不正ログインに使われる可能性がある

 安達氏は、古くからポピュラーな辞書攻撃に比べて、パスワードリスト攻撃では不正ログインの成功確率が「非常に高まる」と指摘した。

 「不正ログインの成功率を一律に言うことはできないが、たとえば辞書攻撃で成功率0.1%のサイトが、パスワードリスト攻撃では1%強に高まるといった、そのくらいの差はある」(安達氏)

 今回の調査で明らかになったとおり、従業員は個人利用サイトと企業システムでパスワードを分けなければならないという意識が弱い。加えて、企業システムでは類推可能なリモートアクセスIDが多く使われており、「企業ネットワークへの脅威が膨らんでいる」と安達氏は強調する。

シマンテックは「個人利用サイトにおける不正ログイン事件は、企業システム担当者にとって対岸の火事ではない」と警告する

 「IT管理者としては『ユーザーの自助努力で何とかしてほしい』と言いたいところだろうが、もはや意識の向上を促すだけでは守れないのではないか。もう一歩踏み込んだ、ユーザーの利便性を損ねないかたちでの対策が必要ではないかと提言する」(安達氏)

 そのうえで安達氏は、クラウドベースのワンタイムパスワード/多要素認証サービス「Symantec Validation and ID Protection(VIP)」、同一IPレンジから繰り返されるログイン試行を検出してパスワードリスト攻撃を抑制する「シマンテック クラウド型WAF」といったソリューションを紹介した。

 「企業ITの現場の方はこうしたソリューション導入の重要性を理解しているが、決裁者レベルになるとなかなか理解してもらえず、予算確保が進まない。ID/パスワードへの攻撃が増えている一方、ユーザーは覚えきれず使い回しをしている、という『背景』を強く伝えていただければ」(安達氏)

■関連サイト

カテゴリートップへ

この連載の記事
ピックアップ