パスワード「123456」を設定できてしまうECサイトが半数以上　ほか

　3月も国内外でセキュリティに関するさまざまな話題が耳目を集めました。

　まず国内では、サイバーセキュリティの知識と技術を争う競技大会「SECCON 2013」全国大会CTF（Caputure The Flag）が開催され、学生チーム「0x0」が2年連続で優勝しました。また、OWASP（Open Web Application Security Project）が主催する国際会議「AppSec APAC 2014」が東京で開催されたほか、3月18日の「サイバーの日」には全省庁参加によるサイバー攻撃対処訓練が行なわれました。

　海外に目を向けると、米国家安全保障局（NSA）による「TURBINE」作戦が大きく報道されたほか、毎年恒例のクラッキングコンテスト「Pwn2Own」が今年も開催され、ChromeやFirefoxで攻略に使われた脆弱性の修正が行なわれました。

パスワード「123456」を設定できてしまうECサイトが半数以上

　パスワードに求められる最低限の長さや必須の文字種、ログイン試行許可回数などはサイトごとに異なっていますが、ECサイトが実際にどのようなパスワードポリシーを採用しているのかを調査した結果が公開されています。

　これは、無料のクラウド型パスワード管理ツール「Dashlane」を提供しているDashlane社が、英国におけるトップ100のECサイトのパスワードポリシーを調査したもので、同社が1月に発表した米国とフランスでの調査結果との比較も行なっています。

　結論から言えば（予想通りではありますが）、米仏英のいずれも、多くのECサイトが脆弱なパスワードポリシーを採用している実態が明らかになっています。

　例えば「123456」のような典型的な「弱いパスワード」をパスワードとして設定できてしまうECサイトは、3カ国いずれも半数以上に達しており、中でもフランスは8割を超えています。典型的な「弱いパスワード」のそれぞれについて、受け入れてしまうECサイトの割合は以下の通りです。

　また、パスワード入力を10回失敗してもブロックしない割合やパスワード変更で現在のパスワードを新しいパスワードとして設定しても拒否しない割合もほぼ同様です。さらに、6文字以下のパスワードを設定できてしまう割合も、米英で7割から8割、フランスでは9割を超えています。

　これらの結果をまとめたのが図1と図2です。

図1

図2

　ただし、この結果をもって「欧米は酷いなぁ」とするのは早計です。当然ながら、日本を含めてどの国も大して違わないと考えた方がいいでしょう。

　Dashlaneの報告書ではパスワードポリシーとして以下を推奨しています。

• パスワードは8文字以上で、大文字・小文字、数字、記号の組み合わせを必須とする
• 3回のログイン失敗でアカウントをブロックする
• ユーザー登録時に強いパスワードの選び方を画面上でアドバイスする
• ユーザーがパスワードを選択する際にパスワード強度の評価結果を画面に表示する
• 絶対にパスワードを平文で送信しない

　なお、Dashlaneは調査したパスワードポリシーに対し、11の項目について点数を付け、その合計点でのランキングも発表しています。この採点で満点の＋100点を取ってランキング1位となった企業もありますが、パスワードポリシーが高い評価を得ていたとしても、それをもって安全なECサイトであることが保証されるわけではないので、ここではあえてランキングの結果そのものは紹介しません。詳細はDashlaneの報告書を参照してください。

マルウェア感染済みPCが販売されている実態

　海賊版ソフトウェアがプレインストールされているPCが販売されているという話は（特に海外の一部の国では）珍しくありませんし、また、そのような海賊版ソフトウェアにマルウェアが含まれているのもよく知られている話です。そのような中、「マルウェア感染済みPC」が当たり前のように出回っている実態を示す調査結果が発表されました。

　これは、市場調査会社の米IDC（International Data Corporation）とシンガポール国立大学（NUS）が、Microsoftの資金援助の下、海賊版ソフトウェアとITセキュリティとの関連性を調査した報告書で、それによると、海賊版ソフトウェアがプレインストールされているPCの61％がマルウェアに感染しているとの結果が得られています。これは、11カ国（ブラジル、中国、インド、インドネシア、メキシコ、ロシア、韓国、タイ、トルコ、ウクライナ、米国）で購入されたPCで海賊版ソフトウェアが含まれている203台をフォレンジックス分析したもので、この61％という数字は、ウェブ／P2P経由やCD/DVD経由で海賊版ソフトウェアをインストールした場合の感染率（ウェブ／P2Pで36％、CD/DVDで20％）よりもかなり高い確率を示しています。

　さらにNUSの調査によれば、一般的な販売元から購入したPCの46％がマルウェア（アドウェアを含む）に感染済み（pre-infected）であるとの結果が出ています。このNUSの調査を国ごとにまとめたのが図3です。メキシコの100％、中国とタイの80％超えは一見すると衝撃的に見えますが、アドウェアが含まれていることを鑑みれば「さもありなん」といったところでしょうか。

図3

　報告書では、これらの「マルウェア感染済みPC」を避けるためには有名ブランドや大手小売チェーンから購入すべきとしていますが、その一方で、そういった販売元からは「買わない」とする割合が企業で30％、個人利用者で65％との結果が得られています。それを地域別でまとめたのが図4で、最も高いのはアジア太平洋地域です。

図4

　ほかにも報告書では、中央および東ヨーロッパでセキュリティ意識が低い実態や、ラテンアメリカやアジア太平洋地域で従業員が業務用PCに勝手にソフトウェアをインストールしている割合が高い（30％を超えている）状況などが紹介されています。さらに、海賊版ソフトウェアに伴うマルウェアによる脅威・損失なども具体的な金額で説明されています。

　これらの結果を踏まえ、報告書では、アジア太平洋地域での海賊版ソフトウェアの普及状況から、全世界の海賊版ソフトウェアに伴うマルウェア被害のうち、個人利用者に関しては40％以上が、また企業に関しては45％が、アジア太平洋地域となるであろうと結論付けています。

　フォレンジクスの対象が特定の11カ国（上記参照）に、また、それ以外の調査も15カ国（ブラジル、中国、インド、インドネシア、フランス、ドイツ、日本、メキシコ、ポーランド、ロシア、シンガポール、タイ、ウクライナ、英国、米国）に限定されているので、それだけをもって地域ごとの違いを述べるのは少々「言い過ぎ」の感がありますが、「マルウェア感染済みPC」が当たり前のように出回っている国や地域がある状況を具体的に示しているのは注目すべきところです。日本での状況は不明ですが、少なくとも海外、特にアジア太平洋地域でPCを調達する場合には注意が必要でしょう。

銀行ATMでいまだに使われ続けているXPおよびそれ以前のWindows

　全世界のATMの95％がWindows XPで動いていると言われる中、そのようなATM、約220万台のうち、4月のXPサポート終了までにWindows 7などの新しいOSに更新が完了するのは3分の1程度に過ぎないとの報道がありました。これは世界有数のATMメーカーであるNCRが明らかにしたものですが、2016年1月までサポートされる予定のXP Embeddedを搭載したATMの有無については言及されていません。

　一方、韓国では国内のキャッシュディスペンサーやATM、全8万台のうち39％がWindows 2000またはMEであるとの調査結果が金融当局によって明らかにされました。ちなみに、残りのすべてがXPで、XP Embeddedを搭載したものはなかったそうです。

　多少は残っているだろうと思っていましたが、すでに数年も前にサポートが終了しているWindows 2000やMEを使っているものが、いまだに4割近くも残存しているのには驚きを感じます。また、その状態で今まで大きな問題が発生していなかったのか不思議でなりません。たまたま運が良かっただけなのか、問題が発生しているにもかかわらず、それが顕在化していないだけなのかは分かりませんが、今後、韓国においてどのような対応がなされるのか、興味深く見守りたいと思います。