「パスワードリスト攻撃」による不正ログインの被害が後を絶たないことから、複数のネットサービスで同じパスワードを使い回さないようIPA(独立行政法人情報処理推進機構)やJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)が呼びかけている

画像

パスワードリスト攻撃の概要

 パスワードリスト攻撃とは、何らかの方法で入手したIDとパスワードのリストを使用し、自動入力プログラムでネットサービスにログインを試みる攻撃手法。もし利用者がIDとパスワードを使い回していると、第三者によるなりすましログインを可能にしてしまう。

画像

パスワードリスト攻撃による被害を公表した企業の推移

 この手口による被害はここ1年で断続的に起こっている。JPCERT/CCの調べによると、被害を公表した企業は2013年8月から毎月1社以上、2014年6月は6社もあった。企業によっては不正ログインを220万3590回受けたうち、9.98%にあたる21万9926回の成功を許したところもある。

画像

パスワードの使い回しの状況

 忘れてしまうからと同じパスワードを使い回しているユーザーは少なくない。IPAのアンケート調査によれば、ネットショッピングなど金銭に関わるサイトの利用者のうち同一のパスワードを使い回している人は25.4%(回答者1923件)。使い回す理由の64.1%が「パスワードを忘れてしまうから」だった(回答者1212件)。

 ID・パスワードを忘れず設定できる具体策として、ID・パスワードを第三者が見ても分からないように紙にメモしたり、「パスワード付きの電子ファイル」で保管しておくこと、パスワード管理のための専用ソフトウェアを使用することなどを両社は推奨している。また通常とは異なるIPアドレスや国からログインされたときにメールで通知を受けるといった、不正ログインを防止するための機能を提供しているサービスもあるので、それも積極的に利用すべきとしている。