独立行政法人情報処理推進機構(IPA)が、ID・パスワードの使い回しは危険だとして注意を呼びかけるとともに、2010年度の情報セキュリティ標語のコンクール大賞作である「パスワード ぼくだけ知ってる たからもの」を紹介している。
複数のオンラインサービスを利用する際に、それぞれ異なるID・パスワードを登録・管理しようとしても覚えきれないといった理由で、同じID・パスワードを使い回すことが行われがちだ。しかし、そのうちの1つのサービスでアカウント情報が漏えいした場合、連鎖的に他の他のサービスでもなりすまし被害が拡大する恐れがある。
IPAでは今回、4月から5月にかけて1億件を超えるアカウント漏えい事件が発生したことを受け、注意を喚起した。特に今回の事件では漏えいした情報量が多いため、同じID・パスワードを他のサイトでも使い回していたユーザーの情報が含まれている可能性も高いためだ。
ID・パスワードの使い回しによる危険(IPAのプレスリリースより) |
IPAでは、なりすまし対策の基本として、a)パスワード強化、b)パスワード保管、c)パスワードの適切な利用――の3点を挙げ、このうち1つでもおろそかにしてはならないと説明する。
a)としては、破られにくいパスワードを使うことだとして、「英字(大文字、小文字)・数字・記号など使用できる文字種すべてを組み合わせる」「8文字以上にする」「辞書に載っているような単語や名前(人名、地名)を避ける」という3条件を満たすよう求めている。
b)としては、パスワードをメモする際はIDと別々にすることのほか、アカウントを定期的に“棚卸し”することを勧めている。古いIDを放置していると時間をかけてパスワードを破られる危険性が高まるため、棚卸しによって利用しないサービスは登録解除しておこうというわけだ。
c)としては、ネットカフェなど不特定多数が利用するPCではID・パスワードを入力しないこと、ワンタイムパスワードなどのサービス(二要素認証、二段階認証)を利用することを挙げている。
なりすまし対策の基本3点(IPAのプレスリリースより) |
なお、オンラインサービスにログインする際のID・パスワード入力を盗み取るキーロガーウイルスもあるため、これら3点の対策を行ったとしても、当然ながらウイルス対策ソフトの導入、OSやアプリケーションソフトの脆弱性対策も必須だとしている。
このほか、ウェブブラウザーにはID・パスワードを保存する機能があるが、保存された情報を盗むウイルスもあると説明。そのようなリスクを減らすため、IPAでは、ウェブブラウザーにはID・パスワードを保存しないようにすることを勧めている。