Webサービスに不正にログインされ、金銭的な被害を受けたり、プライバシーに関する情報などが流出したりするなどの被害が相次いでいます。不正ログインの手口の多くが、あるサイトから流出したID・パスワードの組み合わせを用いて他のサイトへのログインを試みる「リスト型攻撃」によるものとみられています。また、今年5月頃には、日本のサイトを含む大量のアカウント情報がダークウェブ上などで販売・公開されており、これらが「リスト型攻撃」などに利用される恐れがあるという報道も相次ぎました。

 これらの「リスト型攻撃」への対策として、「パスワードの使い回しをしない」ことが重要との呼びかけが多くの組織からなされています。

 しかし、2018年3月にバージニア工科大学により発表された研究「The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services(次に倒れるドミノ:オンラインサービスのパスワードの実証分析)」によると、多くのユーザーが既存のパスワードを少しだけ変更して新しいサービスに登録しており、変更後のパスワードも高い確率で予測可能であることから、単に「パスワードの使い回しをしない」だけでは対策として不十分であることがわかりました。

 

バージニア工科大学によるオンラインサービスのパスワードの実証分析

 この研究では、ネット上に流出した107のサービスの2,880万のユーザー、6,150万のパスワードの大規模な実証分析をおこなっています。調査の結果、以下のようなことが判明しました。

 

1. パスワードの再利用と変更は依然として非常に多い

 2,880万人のユーザーのうち、38%が異なるサービスで同じパスワードを再利用(使い回し)し、21%が既存のパスワードを少しだけ変更して別のサービスに登録していました(全体で52%)。更に、パスワードの総数が多いユーザーほどパスワードを再利用/変更する可能性が高いことがわかりました。

 

2. 機微なオンラインサービスの方が、パスワードの再利用と変更の比率が高い

 驚くべきことに、「ショッピング」サービスが再利用や変更されたパスワードの中で最も高い割合(85%)を占め、「メール」サービスが第2位(62%)でした。「ショッピング」サービスでは、ユーザーのクレジットカード情報や自宅の住所が保存されることが多く、パスワードを再利用することはセキュリティ上重要な意味を持ちます。「メール」サービスでは、攻撃者がメールアドレスを使用して他のアカウント(例えば、オンラインバンキング)のパスワードをリセットできるので、さらに深刻なものになります。

 

3. ユーザーは、流出したパスワードをデータ侵害後も何年も再利用する

 ユーザーが他のサービスで流出したパスワードを変更するまでには、かなりの時間が掛かることがわかりました。70%以上のユーザーが、他のサービスで流出したパスワードを1年後も別のサービスで再利用していました。また、40%のユーザーが、3年以上前に流出したパスワードを再利用していました。

 

4. 変更されたパスワードは高い確率で推測可能

 ユーザーが既存のパスワードを変更して別のサービスで使用するために適用されるパターンは少ししかなく、変更されたパスワードは高い確率で推測可能でした。機械学習したアルゴリズムでは、10回の試行で変更されたパスワードの30%(100回の試行で46.5%)を推測可能でした。

 今まで、複数のサービスで同じパスワードを再利用する「パスワードの使い回し」を行うユーザーが多いことはわかっていましたが、それだけではなく、既存のパスワードを少しだけ変更して別のサービスで使うユーザーが多いこと、また、変更のパターンも限られ、高い確率で変更後のパスワードを推測可能であることが、このバージニア工科大学の研究により新たにわかりました。

 変更のパターンで最も多いのは… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

連載記事