IPA(情報処理推進機構)は1日、多くのパスワードを安全に管理するための具体策として呼びかけを発表した。

呼びかけによると、最近ではパスワードリスト攻撃の被害報道が続いており、不正ログインが成立した率は低いものの、ログイン試行回数が多いほど、不正ログイン成立の実件数はかなりの数に上ってしまうという。パスワードリスト攻撃が成立する背景として、「同じパスワードを様々なインターネットサービスで使い回す利用者が多い」ということが挙げられ、パスワードリスト攻撃はこの状況に目を付けた攻撃手法と言えるとしている。

呼びかけでは、多くのパスワードを安全に管理した上で、個人の利用者がパスワードの使い回しを避ける具体的な方法として、 「パスワードリスト攻撃の手口」、「パスワードの使い回しを避け、安全に管理するための具体策の例」、「実際に被害が発生した時の、事後対処について」の3つを挙げている。

利用者の観点から見た、パスワードリスト攻撃による被害のイメージ図

1つ目の「パスワードリスト攻撃の手口」では、インターネットサービスの利用者の多くが複数サイトで同一のIDとパスワードを使い回している状況に目をつけ、不正取得したIDとパスワードのリストを流用し、連続自動入力プログラムなどを用いてIDとパスワードを入力しウェブサイトへのログインを試行する手口を例として挙げている。

この場合、各社のサービスにおいてIDとパスワードをすべて同じにしている場合、その中のいずれかのサービス企業でアカウント情報が漏えいしてしまうと、悪意ある者が他社のサービスで同じIDとパスワードを用いて、利用者Xになりすましてログインすることができる。これで、パスワードリスト攻撃が成功したことになり、その後、悪意ある者はログイン可能なIDとパスワードを悪用して不正アクセスし、最終的には金銭に結びつくような二次的被害を引き起こす。

この例において注意すべき点は、パスワードリスト攻撃においては、その元となるIDとパスワードは、個人のパソコンからではなくインターネットサービスのサーバから盗み取られることだという。

利用者側で強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできないとしている。

2つ目の「パスワードの使い回しを避け、安全に管理するための具体策の例」では、複数のパスワードを、どのように管理するかが重要となるとし、そのための具体策として、「(1)自分が利用するIDとパスワードを、リスト化して保持」、「(2)サービスの重要度によっては、IDとパスワードのリストを別々のファイルに分けて保持」を挙げている。

(1)では、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを勧めている。具体的には、表計算ソフトでIDとパスワードのリストを作成し、そのリストを、パスワード付きでファイル保存する。表計算ソフトでIDとパスワードのリストを作成し、ファイル保存し、そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換する。「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存し、そのファイルを、パスワード付きで圧縮ファイルに変換する。などを挙げている。

(2)では、インターネットバンキングのIDとパスワードなど、金銭に絡む重要なものについては、上記(1)リストを用いた管理に加え、IDとパスワードを切り離して保持することを勧めている。

3つ目の「実際に被害が発生した時の、事後対処について」では、不正ログインの被害に遭ったことが判明した場合、可能であれば、さらなる被害を防ぐために、パスワードをすぐに変更し、その上で、サービス会社のサポート窓口に連絡し、実被害が生じた場合の補償や今後の対応について説明を受けることを推奨している。

また、不正ログインされたIDの決済情報としてクレジットカードが紐付いている場合は不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡し、万が一、クレジットカードが不正利用されても補償される可能性が高いが、速やかにクレジットカード会社に連絡を取り、対処方法について相談することを勧めている。