パスワードの使い回しに注意!1つの被害からすべてを失う危険性?

このところ大規模な Web サービスにおける不正アクセス事件が、相次いで発生しています。特に4月に入ってからの報道が顕著です。この背景には何があるのでしょうか。また、被害を抑えるためにはどのような対策を行うべきなのでしょうか。


■不正アクセス事件の変化
以下の表は今年2013年に発覚、報道された主な不正アクセス事件を一覧表にしたものです。

No. 報道/公開日 業種 内容
1 1月7日 食品業・商社 担当者が不整合なデータを発見したことから発覚。サーバに不正アクセスの痕跡。サーバ内のデータベースに改ざん被害
2 2月19日 サービス業 Web サーバのアクセス障害調査から発覚。Web サーバに不正アクセスの痕跡。2月7日から2月11日までの期間に6回の不正アクセスが行われ、サーバ上のデータベースが侵害された疑い
3 3月3日 クラウドサービス事業者 不正アクセスの試行と思われる不審なネットワーク挙動の確認から発覚。保存情報の侵害の痕跡は確認されなかった
4 3月15日 小売業 Web サイト上の異常から発覚。2月6日から3月14日までの期間、Web サイト上で入力したクレジットカードデータが不正サイトへ転送される改ざんが行われていたのを確認
5 3月22日 サービス業 不正ログオンの試行の確認から発覚。保存情報の侵害の痕跡は確認されなかった
6 4月4日 情報通信業 サイトへの不正アクセスの検知から発覚
サイト上に保管されているユーザ情報を不正に抽出するプログラムの存在を確認し、強制停止処理を実施。停止までに127万件のデータが抽出されていたことを確認
7 4月4日 電気通信事業者 特定 IP アドレスから大量の不正アクセスに対する調査から発覚
30個のアカウントについて、不正ログイン、不正操作が行われていた可能性
8 4月4日 情報通信業 サーバ異常に対する調査から発覚
特定の IP アドレスから約10万個のアカウントに対する機械的な不正ログイン試行を確認
9 4月5日 サービス業 顧客からの指摘に対する調査から発覚
299個のアカウントについてなりすましによる不正ログイン、不正操作が行われていたことを確認
サーバからの情報漏洩は確認されていない
10 4月6日 情報通信業 サーバ高負荷への調査から発覚
779個のアカウントに対し不審な IP アドレスからのログイン試行を確認
11 4月17日 陸運業 一連の不正アクセス事件の発生から確認を行い発覚
特定の IP アドレスから約1時間半の間に26000件のアクセスがあり、97名の会員アカウントで不正ログインの発生を確認
表1:2013年に発覚、報道された主な不正アクセス事件

この表から気づくのは、不正アクセス事件の内容の変化です。表中で1~4番と6番のケースは、侵入試行と情報窃取を目的としたサーバへのハッキング攻撃とわかります。しかし表中5 番のケースを始めとして7~11番のケースはすべて、不正ログイン、つまりWeb サービスのアカウントに対するハッキング攻撃のケースとなっています。つまり3月後半を発端として4月から攻撃の内容が変化しているということが分かります。

この多発している不正ログイン攻撃の内容として注目すべき調査結果が、表中10 番の情報通信業者から公表されています。それはアカウントあたりの不正ログインの試行回数です。発表によれば、779件の不正ログインのうち、94%は2回以内の試行でログインが成功しているのです。これは、予めアカウントとパスワードの情報を持っていたとしか考えられない成功確率、と言えます。この高い不正ログオン成功確率の背景には、ユーザの行動習慣が攻撃者に予測され、利用されている事実があるものと考えられます。それは「パスワードの使い回し」です。

■「パスワード使いまわし」の危険性が現実に
パスワードの設定と管理に関するポリシーはセキュリティの基本のひとつとされています。例えば、カード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準である PCI データセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)のバージョン 2.0では、パスワードについて次の事項を要求しています。

  • PCI DSS バージョン 2.0 で要求されているパスワードポリシー(引用):
  • 少なくとも90日ごとにユーザパスワードを変更する。
  • パスワードに7文字以上が含まれることを要求する。
  • 数字と英文字の両方を含むパスワードを使用する。
  • 最後に使用した4つのパスワードと同じものを使用できないようにする。
  • 最大6回の試行後にユーザ ID をロックアウトして、アクセス試行の繰り返しを制限する。
  • ロックアウトの期間を、最小30分または管理者がユーザ ID を有効にするまで、に設定する。
  • セッションが15分を超えてアイドル状態の場合、端末またはセッションを再有効化するためにユーザに再認証を要求する。
  • しかし、ユーザの立場で考えた場合、ポリシー通りの運用を困難と感じた人も多いのではないでしょうか?実際に、トレンドマイクロが2012年に行った調査では、以下の結果が出ています:

  • パスワードの設定・管理状況の調査結果(概要):
  • ユーザ1人あたり、約14のパスワード設定が必要なサイトを使用
  • 約70%の人が3種類以下のパスワードを複数の Web サイトで使いまわしている
    (2~3種類のパスワード55.4%、1種類のパスワード13.9%)
  • 80%以上の人が、9文字以下のパスワードを使用している
    (8~9文字:54.7%、6~7文字:24.1%、4~5文字:2.2%)
  • 80%の人が、2種類以下の文字種しか使用していない
  • パスワードの管理方法:
  • 保存せずに覚えている(43.7%)
  • 手帳やノートにメモ(34.8%)
  • パスワードをほぼ変更しない(50.6%)
  • つまり、典型的なインターネットユーザは、14か所のアカウントに対して1~3種類のパスワードを使いまわしている、ということが言えます。これは攻撃者があるユーザの1つのアカウントのパスワードを奪った場合、他の3~4か所でも同じパスワードが通用する、ということを意味します。

    このようなパスワード使い回しの危険性は以前から言われてきたことです。例えば、フィッシング対策協議会策定の「消費者向けフィッシング詐欺対策ガイドライン」では「パスワードのしっかりした管理」としてパスワード使い回しの危険性に言及しています。また、IPA(独立行政法人情報処理推進機構)からは既に2011年に注意喚起が行われています。このように以前から危険性が叫ばれていたパスワード使い回しを狙った、1つのアカウントのIDとパスワードの窃取から他のWebサービスへも攻撃を拡大するという手法が、まさに今多発している不正ログイン攻撃の正体と考えられます。

    ■行うべき対策は?
    今後も発生するであろう、「パスワード使いまわし」を狙う不正ログイン攻撃に対して、我々はどのような対策を施すべきでしょうか?

    ユーザの観点からは、当然パスワードポリシーの遵守が第1となります。パスワード管理についての注意点と対策ポイントは、以下の Web サイトにわかりやすくまとめられておりますので、是非ご参照ください。

  • インターネット・セキュリティ・ナレッジ
  • これで忘れない、盗ませない! 安心のパスワード管理術
  • パスワードの安全性をチェックしよう
  • あなたのパスワード管理、それでホントに大丈夫? | コラム
  • ただし、上述のように、パスワードポリシーを遵守することは大きな負担と感じるユーザも多く、結果的にポリシーが守られずに被害が発生しているのが現状です。このような現状を鑑みて、フィッシング対策協議会策定の「フィッシング対策ガイドライン」などでは、アカウント管理ソフトウェアの使用が薦められています。インターネットブラウザ単体でもパスワードの記録などの機能がありますが、セキュリティの面からも管理に必要な機能の面からも十分とは言えません。ポリシー遵守の負担軽減のため、また、機能的、セキュリティ的な観点からも、クラウド上に情報を記憶するような専用管理ツールの導入を検討してください。

    サービス提供者、システム管理者としては、運営するサービスが特定の IP から大量のアクセスを受けていることに、気づけるような監視を行う必要があります。上記表中の不正ログインケースでは、6件中4件で特定 IP からの大量のアクセス、もしくはそれによるサーバの高負荷などの異変に気付いたことが、発覚の発端となっています。また、提供サービスのユーザにパスワードポリシーを遵守してもらうことも重要です。上述のユーザ観点からの対策の実施を、ユーザに啓発していく活動も行うべきでしょう。

    ■トレンドマイクロの提供する対策
    トレンドマイクロでは、サーバにおいて外部からの大量のアクセスなどの異常を検知する IDS/IPS 的機能を、サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」で提供しています。また、個人向けアカウント管理ツールして「パスワードマネージャー」を提供しています。これらの製品や機能を有効活用し、対策を強化することを、トレンドマイクロでは推奨します。

    ※解析およびリサーチ:林憲明(Forward-looking Threat Research)