身近に迫るリスト型アカウントハッキングの危険 2

今回も、リスト型アカウントハッキングの危険と対策について考えていきます。 前回取り上げた攻撃を予防する対策について、それぞれ具体的な対応策についてご紹介します。

FacebookTwitterLinkedIn
List type account hacking 2

1.IDとパスワードの使い回しなどに関する注意喚起を行う

このブログでも何度もご紹介していますが、利用者の登録時やパスワードの変更時などあらゆる機会を活用して、使い回しの危険に対する注意喚起やパスワードの強度の紹介などを行うことが効果的です。このような注意喚起は、事業者によるコスト負担があまり生じず、一定の効果が得られます。

また、多少のコスト負担は生じたとしても、事業者においてIDを設定し、利用者ではパスワードのみを設定するような形態にすれば、リスト型攻撃による被害を大きく減らすことができます。

パスワード管理の便利なツール(パスワードマネージャソフト)

利用者の負担を減らすためのツールとして「パスワードマネージャ(パスワード管理)ソフト」があります。具体的には、利用しているサービスのID・パスワードとマスターとなるパスワードをソフトに登録することで、マスターとなるパスワードのみで複数のサービスの認証が行われるようになるソフトです。

総務省ホームページ

2.パスワードの有効期間設定

サービスを運営する事業者において、利用者のパスワードに一定の有効期間を設定し、利用者に定期的にパスワードを変更してもらうことが効果的です。これは、攻撃の予防だけでなく、このような被害の拡大防止にも一定の効果があります。 ただし、パスワードの有効期限を短くして利用者に頻繁に変更を求めすぎると、利用者が、他人に推測されやすい簡単なパスワードを設定する傾向に陥りやすいため注意を要します。

 

3.パスワードの履歴の保存

パスワードの定期的な変更と合わせて、パスワードの更新履歴を保存し、変更時に過去のパスワードと照合して、数世代前に使用したパスワードへの変更を認めないようにすることも効果的です。なお、数世代前のパスワードの履歴の保存においては、暗号化など適切な管理が必要となります。(ID・パスワードの適切な保管については、次の記事で紹介します。) 暗号化はパスワード全体を1つの塊として行われるため、過去のパスワードとの照合は、一部一致ではなく、全文一致で判定することを推奨します。

 

4.二要素認証の導入

攻撃者はID・パスワードの対をもとに攻撃を行うため、新たな認証要素を追加することでリストを無効化することができます。インターネット上のサービスの利用にあたっては、利用者が正当な権限のもとに利用していることを確認するために認証を行いますが、その認証の方式については大きく分けて以下の3種類に分けられます。

・ 対象者の知識を利用したもの(ID/パスワード、暗証番号、事前に登録した質問事項への回答など)
・ 対象者の持ち物を利用したもの(セキュリティトークン、ICカードなど)
・ 対象者の身体の特徴を利用したもの(指紋認証、静脈認証など)

一般に、認証はこれらのうちいずれか一つを利用しますが、複数の種類の認証方式を組み合わせることを「多要素認証」といいます。複数の組み合わせで対策することが有効と考えられます。

 

5.ID・パスワードの適切な保管

サービスを運営する事業者において、適切に利用者のID・パスワードを保管し、必要な不正アクセス対策を実施することが重要です。

・不正アクセスに対する対抗策として、Webサーバと認証サーバを分離するなどの物理的なサーバ構築を行うこと
・ID・パスワードの管理を、平文での管理を行わず、暗号化(ハッシュ化)して管理すること
・ID・パスワードを記録したファイルにパスワードを設定し、そのパスワードを暗号化して管理すること
・窃取のリスクを軽減するため、IDとパスワード、両者を紐づける対応表のそれぞれを別にファイル管理すること
・退職や部署異動の際には該当者のID・パスワードを停止し、退職後の不正なシステムの使用によるID・パスワードの流出を防ぐこと

などが考えられます。

deployment
deployment

6.休眠アカウントの廃止・停止

無料でアカウントを取得できるサービスについては、手軽にID・パスワードが取得できることから、利用者自身も忘れてしまっているものなど、長く休眠状態にあるアカウントが多く存在していると考えられます。このような休眠アカウントは、利用者が気付きにくいことから、第三者に悪用されることも考えられます。このため、長期間利用のないアカウントを廃止することで、利用者の管理が及んでいないところから個人情報が流出するリスクを減らすことができます。

しかし、利用者がアカウントに重要な情報を保管している場合も考えられ、廃止に伴う各種データの消失に対して利用者から苦情が寄せられる可能性も考えられます。そのため、一定期間利用実績がない場合はデータも含めてアカウントを削除することを利用規約に事前に記載します。休眠状態のアカウントについては停止にとどめて、廃止にあたってはあらかじめ登録されたメールアドレスに連絡してどのような情報が保管されているか提示しながら廃止か利用継続かを利用者に選択してもらうなど、善後策を講じておくことが好ましいと思われます。

休眠アカウントの停止・廃止に関する利用規約について

サービスの利用規約などにおいて、その他の停止・廃止に関する規定とともに、休眠アカウントの取扱いについて定めを決めておくと良いかもしれません。

総務省ホームページ

7.推測が容易なパスワードの利用拒否

攻撃者はリストに登録されているパスワードの他にも、利用者の個人情報やキーボード配列などから推測されるパスワードを使って不正ログインを試みることがあるため、容易に推測が可能なパスワードは第三者による不正ログインが行われる危険性を高めます。このため、推測が容易な、強度が弱いパスワードを受け付けないなどのパスワード・ポリシーをあらかじめ定めておき、利用者が申請するパスワードがポリシーに反する弱いものである場合には、より強いパスワードを求めるという方策が考えられます。

推測が容易なパスワードとしては、辞書に登録されている単語やアルファベットのみもしくは数字のみを組み合わせた単純なもの、5文字以下のもの、メールアドレスをそのまま流用したもの、IDと同一のものなどが考えられます。パスワードは最低でも 8文字以上とし、数字や記号を混ぜるようにすることが推奨されています。

 

リスト型アカウントハッキングから大切な情報を守るためのセキュリティ対策は、まだあります。次回は更に他の対策について扱います。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。