ニュース

安全なパスワード設定、利用者の認識は低くないが事業者の対応は不十分

 独立行政法人情報処理推進機構(IPA)は5日、安全なオンライン本人認証の実現を目的として実施した「オンライン本人認証方式の実態調査」の報告書を公開した。

 IPAでは、流出した個人のIDやパスワードが不正アクセスに悪用される“パスワードリスト攻撃”が多発していることから、インターネットサービスにおける利用者(個人)とサービス事業者双方のオンライン本人認証の実態調査を実施。安全なオンライン認証を実現する上での利用者側、サービス事業者側の対策を検討し、優先すべき対策項目を報告書としてまとめた。

 利用者側の調査は、20代~60代の男女2060人を対象にウェブアンケートを実施。調査期間は4月4日~4月7日。サービスサイト側の調査は、国内100サイト、海外30サイトについて、実際に各サイトにアクセスして利用者登録を実施。契約などを必要とするサービスについては、公開情報から本人認証方式に関する情報を収集した。調査期間は2013年11月~2014年3月。

 サービス利用者に対して、パスワードの安全性を高めるために必要だと思われる事項を尋ねた質問(複数回答)では、「英字、数字、記号を組み合わせた文字列であること」が74.2%、「名前や誕生日など、推測されやすい文字列を使わないこと」が70.3%、「文字数は8文字以上であること」が67.2%、と約7割が正しい認識を持っている。

パスワードに関する知識

 金銭に関連したサイトを利用する際に実際設定しているパスワードは、「ランダムな英数字の組み合わせ」が26.8%で最多だったが、「名前にちなんだもの」が19.0%、「誕生日にちなんだもの」が17.2%と、推測されやすい文字列を使用している割合も多い。「ランダムな英数字と記号の組み合わせ」を設定している割合は13.1%だった。

 金銭に関連した複数のサービスサイトで「同一のパスワードを利用している」割合も25.4%と多い。パスワードを使い回してしまう理由(複数回答)は、「パスワードを忘れてしまうから」が最多の64.1%で、「複数のパスワードを管理するのが手間だから」も過半数の51.3%となっている。

同一のパスワードを利用している理由

 サービスサイト側の調査では、「パスワードを設定する際の最小桁数」が8桁未満の割合は58%で、通販・物品購入サービスに限定するとその割合は79.2%とさらに多くなる。また、「パスワードに使用可能な文字種」を“英字+数字+記号”としているサービスサイトは11%に過ぎず、“英字+数字”が69%と多数を占めている。

パスワードを設定する際の最小桁数(PC)
パスワードに使用可能な文字種(PC)

 IPAでは、安全なパスワードに対する利用者の意識は進んでいるが、サービス事業者が十分なセキュリティ環境を提供できていない一端が伺えると分析。また、通販・物品購入サービスではメールアドレスをIDとして設定している割合が69%あるが、IDが利用者にとって記憶しやすいという利点がある一方で、流出した場合にはスパムメールや標的型メールなど多様な攻撃に悪用される可能性があり、メールアドレスをIDとして利用することは望ましくないと指摘している。

 利用者に対して、利用しているショッピングサイトのセキュリティを確保するために認証方法を変更する場合の許容範囲を尋ねた質問では、「8文字以上のパスワードの設定が必要」と回答した割合が71.8%で最多。一方で、「12文字以上のパスワード設定が必要」に回答した割合は24.5%と、その許容度は一挙に低くなることから、利用者にとって安全のために許容できるパスワードは8桁以上12桁未満と考えらえるとしている。

 また、多要素認証についての許容度は、「複数のパスワード設定が必要」が14.6%、「トークンや使い捨てパスワードなどの他の認証が必要」が14.2%で、利用者は安全確保のために文字数への許容量は高いものの、多要素認証に対しては高くないとしている。

 IPAでは調査の結果から、サービス事業者は利用者が安全なパスワードを設定可能なように、少なくともパスワードの最低文字数を8文字以上とすること、また文字種を増やすことが求められると指摘。さらに、サイトが扱う情報やサービスに対するリスクを分析し、適切な認証手段を提供することが必要だとしている。

(三柳 英樹)