ニュース

シマンテック、個人・企業のパスワード管理に関する意識調査

〜パスワードリスト攻撃の背景にあるパスワードの使い回し

株式会社シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏

 株式会社シマンテックは10月30日、個人・企業のパスワード管理に関する意識調査について記者説明会を開催した。不正入手したIDとパスワードによるパスワードリスト攻撃が増加しているが、調査はパスワードの管理は記憶に頼り、記憶可能な2〜3個のパスワードを複数サイトで使いまわしている可能性が浮かび上がる結果となっている。

 株式会社シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏は、2013年に入って不正ログイン事件が多発しているが、パスワードリスト攻撃はその主な攻撃手法の1つとなっていると述べた。

 パスワードリスト攻撃とは、脆弱性などを悪用した不正アクセスにより顧客のIDとパスワードを不正に入手し、そのIDとパスワードを利用して別のサイトにログインを行う攻撃手法を指す。サイト運営者からは、ログインしたユーザーが他サイトで不正に入手したIDとパスワードでログインしたかどうかは確認する方法がない。このため、同じIDとパスワードが使いまわされていた場合には、攻撃者は容易にユーザーの登録情報にアクセスできることになる。

 安達氏は、パスワードリスト攻撃が急増しているのは、攻撃成功率が非常に高いと言われており、サイト運営者が気付きにくいためだと説明。ケースにより成功率は大きく異なるが、以前から行われている辞書攻撃と比較して、平均すると成功率は10倍くらい高いのではないかと述べた。ちなみに辞書攻撃とは、パスワードを知るために、文字通り辞書ファイルを使って辞書の頭から1つずつ入力していく攻撃手法を指す。

 パスワードリスト攻撃の成功率が高い背景には、IDとパスワードの使い回しが多く行われている状況があると考えられる。シマンテックでは、実際に不正アクセス事件として取り上げられる不正ログインの大半は個人として利用するサイトだが、企業システムへのログインに用いられるIDのパスワード管理についても調査を行った。

企業Webサイト管理者向け調査

 企業Webサイト管理者向け調査は、IT管理業務の従事者(全国の20〜69歳男女)300サンプルを対象としたWebアンケートにより、9月19日、9月20日の両日にわたり実施された。

 企業サイトのユーザー認証方法については、77.3%がID/パスワードによる認証を行っていると回答。ワンタイムパスワードによる認証が24.7%、クライアント証明書による認証が22.7%と続く(複数回答)。乱数表の利用やワインタイムURL、CAPTCHAによる画像認証、リスクベース認証も利用されているが、8割近くの企業でID/パスワードによる認証を利用している。なお、「とくになし」という回答も10%に上っている。

 パスワードリスト攻撃については、58.3%が「よく知っており、脅威を感じている」と回答。「よく知っているが、特に脅威を感じていない」は16.0%。合わせて74.3%がパスワード攻撃をよく知っているという結果になった。

8割近い企業でID/パスワードによる認証を行っている
企業のWebサイト管理者は75%がパスワードリスト攻撃をよく知っている

ネットユーザー向け調査

 ネットユーザー向け調査は、全国18〜59歳の男女300サンプルを対象としたWebアンケートにより、9月19日、9月20日の両日にわたり実施された。

 ふだん利用しているサイトまたはスマートフォンアプリで、ID/パスワードでログインするサイト数については、5〜9個が最も多く29.3%、1〜4個が26.3%、10〜19個が23.7%、20個以上が9.6%。数を把握できていないが11.0%となった。

 金融サービスや決済サービスのID/パスワードの管理方法については、55.9%と半数以上が「記憶している」と回答。「紙などにメモ」35.9%、「PCやスマホにファイルとして保存」が16.7%。パスワード管理ソフトを利用しているユーザーは7.3%に留まる。記憶できるID/パスワードの数は、「2〜3組」が52.3%、「4〜5組」が19.3%、「1組」が11.7%となった。

ふだん利用しているサイト数
金融サービスのID/パスワードの管理は半数以上が記憶に頼っている

 金融サービスや決済サービスのパスワードは、それぞれ別のものに設定しているかについては、「2〜3種類のパスワードを利用」が47.3%、「すべてのサイトで異なるパスワードを設定」が29.4%、「1種類のパスワードをすべてのサイトで利用」が15.1%。「4種類以上のパスワードを利用」が8.2%となった。62.4%が1〜3種類のパスワードで間に合わせていることになる。

 この結果から、パスワードは記憶に頼るユーザーが多く、その結果として、直接金銭に関わる金融サービスなどでも、IDとパスワードは3組くらいまでを利用するユーザーが6割を超えることがわかる。利用サービスが数個の場合は別のID/パスワードを設定していても、利用サイトが増えるとパスワードの使い回しも増えてくることが予測される結果となっている。

記憶できるパスワードの数
IDとパスワードは3組くらいまでを利用するユーザーが6割を超える

 不正アクセスによるID/パスワードの抜き取りで狙われやすいソーシャルメディアのパスワードの変更頻度については、「特に定期的な変更は行っていない」が72.1%と7割以上のユーザーがパスワードの定期変更を行っていないことがわかった。

 パスワード管理を煩雑だと感じるかについては、「よくある」26.3%、「たまにある」52.7%で約8割のユーザーが煩雑と感じている。セキュリティを高める追加認証については、「利便性が低下しないなら利用したい」が57.6%、「利便性が悪いためできるだけ利用したくない」14.7%、「特に利用したくない」5.7%。「積極的に利用したい」は22.7%にとどまり、セキュリティ向上というメリットがあっても利便性が損なわれるのであれば利用に消極的なユーザーが多いことがわかる。

企業システムのパスワード調査

 パスワードの流用について、個人で利用するIDと企業内IDを分けているかという設問には、企業Webサイト管理者では「必ず分ける」が61.0%と6割を超えるのに対して、ネットユーザー調査では「必ず分ける」が34.3%に留まり、管理者と一般利用者ではかなり意識の違いが見られる。

 また、リモートアクセスのIDについてどのようなものを利用しているかについて、企業Webサイト管理者に尋ねたところ、「社員・所属番号を利用」が30.9%と3割を超え、「企業のメールアドレス、または企業のメールアドレスから@の右側を除いたもの」13.9%、「氏名から類推可能なID」が10.4%となった。合わせて55.2%の企業で氏名やメールアドレス、社員番号など第三者が類推可能なIDをリモートアクセスに利用していることになる。

パスワードの使い回しについては、管理者と一般従業員で意識の差がある

パスワード使い回しによる不正アクセスの可能性が企業内にも

 安達氏は、記憶に頼るパスワード管理には限界があり、利用するWebサービスの増加によって「パスワードを使いまわさざるを得ない」事情があると説明。

 企業内でもパスワードを使いまわすことに対する管理者と一般従業員の意識には差があり、また企業システムのIDは第三者が類推しやすいIDを用いていることが多いこと、パスワードリスト攻撃の急増といった背景も合わせ、パスワード攻撃はこれまでは主に個人として利用するサービスがターゲットとされてきたが、今後企業への攻撃が増えてくる可能性があると指摘した。

 その上で、対策としては「ユーザーの利便性を損ねないセキュリティ対策」がキーワードになると述べた。

リモートアクセスのIDはどんなものを使っているか
個人利用サイトと企業システムのパスワード流用の可能性

(工藤 ひろえ)