Bizコンパス

「パスワードの使い回しをしない」だけで十分なのか
2018.10.04

今知っておきたいITセキュリティスキルワンランクアップ講座第4回

「パスワードの使い回しをしない」だけで十分なのか

著者 北河 拓士

 Webサービスに不正にログインされ、金銭的な被害を受けたり、プライバシーに関する情報などが流出したりするなどの被害が相次いでいます。不正ログインの手口の多くが、あるサイトから流出したID・パスワードの組み合わせを用いて他のサイトへのログインを試みる「リスト型攻撃」によるものとみられています。また、今年5月頃には、日本のサイトを含む大量のアカウント情報がダークウェブ上などで販売・公開されており、これらが「リスト型攻撃」などに利用される恐れがあるという報道も相次ぎました。

 これらの「リスト型攻撃」への対策として、「パスワードの使い回しをしない」ことが重要との呼びかけが多くの組織からなされています。

 しかし、2018年3月にバージニア工科大学により発表された研究「The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services(次に倒れるドミノ:オンラインサービスのパスワードの実証分析)」によると、多くのユーザーが既存のパスワードを少しだけ変更して新しいサービスに登録しており、変更後のパスワードも高い確率で予測可能であることから、単に「パスワードの使い回しをしない」だけでは対策として不十分であることがわかりました。

 

バージニア工科大学によるオンラインサービスのパスワードの実証分析

 この研究では、ネット上に流出した107のサービスの2,880万のユーザー、6,150万のパスワードの大規模な実証分析をおこなっています。調査の結果、以下のようなことが判明しました。

 

1. パスワードの再利用と変更は依然として非常に多い

 2,880万人のユーザーのうち、38%が異なるサービスで同じパスワードを再利用(使い回し)し、21%が既存のパスワードを少しだけ変更して別のサービスに登録していました(全体で52%)。更に、パスワードの総数が多いユーザーほどパスワードを再利用/変更する可能性が高いことがわかりました。

 

2. 機微なオンラインサービスの方が、パスワードの再利用と変更の比率が高い

 驚くべきことに、「ショッピング」サービスが再利用や変更されたパスワードの中で最も高い割合(85%)を占め、「メール」サービスが第2位(62%)でした。「ショッピング」サービスでは、ユーザーのクレジットカード情報や自宅の住所が保存されることが多く、パスワードを再利用することはセキュリティ上重要な意味を持ちます。「メール」サービスでは、攻撃者がメールアドレスを使用して他のアカウント(例えば、オンラインバンキング)のパスワードをリセットできるので、さらに深刻なものになります。

 

3. ユーザーは、流出したパスワードをデータ侵害後も何年も再利用する

 ユーザーが他のサービスで流出したパスワードを変更するまでには、かなりの時間が掛かることがわかりました。70%以上のユーザーが、他のサービスで流出したパスワードを1年後も別のサービスで再利用していました。また、40%のユーザーが、3年以上前に流出したパスワードを再利用していました。

 

4. 変更されたパスワードは高い確率で推測可能

 ユーザーが既存のパスワードを変更して別のサービスで使用するために適用されるパターンは少ししかなく、変更されたパスワードは高い確率で推測可能でした。機械学習したアルゴリズムでは、10回の試行で変更されたパスワードの30%(100回の試行で46.5%)を推測可能でした。

 今まで、複数のサービスで同じパスワードを再利用する「パスワードの使い回し」を行うユーザーが多いことはわかっていましたが、それだけではなく、既存のパスワードを少しだけ変更して別のサービスで使うユーザーが多いこと、また、変更のパターンも限られ、高い確率で変更後のパスワードを推測可能であることが、このバージニア工科大学の研究により新たにわかりました。

 変更のパターンで最も多いのは… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

高木浩光氏が提言「パスワードの文字数制限は不要」

2018.09.03

情報セキュリティの「常識」を検証する後編

高木浩光氏が提言「パスワードの文字数制限は不要」

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

パスワードの定期的な変更は、実は間違いだった!?

2017.10.31

ビジネスの常識は「非常識」?

パスワードの定期的な変更は、実は間違いだった!?

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは