ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

不正ログインを阻止せよ

読んでナットク!自治体ICT

最近、「パスワードリスト攻撃」と呼ばれるSNSやWebサイトへの不正ログインを狙った攻撃が急増しています。SNSのアカウント乗っ取りや成りすまし、金融機関のWebサイトへの不正ログインによる金銭的被害などが拡大しています。

不正ログインの手口

パスワードリスト攻撃とは、攻撃者が何らかの方法で入手したパスワードのリストを使い、ログイン機能を持つインターネットサービスに不正ログインする攻撃手法です。もし、利用者がIDとパスワードを複数のインターネットサービスで使い回していれば、ログインが成立したIDとパスワードの組み合わせで他のサービスのログインにも悪用できる可能性があります。

例えば、フリーメールのログインが成立したIDとパスワードは、通販サイトのログインにも使われている可能性があります。利用者側が強固なパスワードを設定し、PCやネットワーク上にセキュリティを構築していても、同じパスワードを使い回している限り攻撃の被害を防ぐことはできません。

個人での防衛策

パスワードリスト攻撃の増加にともない、独立行政法人情報処理推進機構(以下IPA)は、インターネットユーザー向けに、パスワードを安全に管理するための具体策を呼びかけています。

まず、すべてのインターネットサービスで異なるパスワードを設定するのが基本です。次に、自分が利用するIDとパスワードのリストを記載した紙のリストを作成します。IDとパスワードを別々の紙に書いて保存すると効果的です。ただし、紛失しても第三者が見てわからないように工夫が必要です。さらに、「パスワード付きの電子ファイル」を作成して保管します。

IPAの調査によると、ユーザーがパスワードを使い回す理由は「パスワードを忘れてしまうから」が大きな割合を占めています。したがって、複数のパスワードを忘れずに管理することが、有効な対策となります。増えすぎたパスワードを安全に管理できるアプリ、ソフト、Webブラウザーの拡張機能があるので、活用するのも有効な方法です。

サービス提供事業者側の対策

利用者自身がIDとパスワードを管理するのはもちろんですが、サービス提供事業者側においても適切な対策を実施することが重要です。

総務省は、インターネットサービス提供事業者向けに対策集を公表しました。
攻撃を予防する対策として、IDとパスワードの使い回しに関する注意喚起の実施、パスワードの有効期間設定などを挙げています。また、攻撃による被害の拡大を防ぐ対策として、一定回数以上の認証エラーが発生した場合のアカウント一時停止、ログイン履歴の表示などを挙げています。

自治体の住民向けインターネットサービスでもID、パスワードの入力を求める機能があります。不正ログインによる個人情報の漏えいを防止するためには、これらの対策が重要です。また先日、サイバー攻撃に対する国の責任と戦略を明文化した「サイバーセキュリティ基本法案」が成立しました。今後ますますサイバー攻撃への対策強化が求められていくでしょうから、今まで以上にセキュリティ関連のニュースにアンテナを張ることが大切になってきます。

(2014年11月26日)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

関連記事

[リンク]セキュリティ まとめページへ

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから