ニュース

“ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査

 総務省は30日、「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を発表した。

 調査は今年2~3月に実施。28社からの回答を集計した。不正ログイン被害の有無、ID・パスワードの初期設定方法、ユーザーがパスワードに設定できる文字種・桁数、平易なパスワードをはじくなどのポリシーの有無、パスワード保管時の暗号化・ハッシュ化の有無、漏えい時のポリシーの有無、ログイン試行回数制限やIPアドレス制限、2段階認証やリスクベース認証などの不正ログイン対策の有無などを聞いている。

 なお、総務省では約200社に対して、匿名で集計・公表することを告知した上でアンケートへの協力依頼を行ったが、機微情報に関する内容であることから回答を控える企業が多く、最終的に協力を得られたのが28社だったとしている。ただし、想定したすべての業種(金融・クレジットカード、通販・物品購入、オンラインゲーム、交通・運輸・旅行、情報配信・提供、通信・放送・報道、その他)からの回答を得られたとしている。

 調査の結果、パスワードの最大桁数が12桁未満のサービスが25%あったほか、中には8桁未満のパスワードしか設定できないサービスもあったという。

 また、パスワードの“ハッシュ化”の実施率が低かったことも指摘している。ハッシュ化とは、パスワードの情報をデータベースに保管する前に、その文字列を別の文字列に不可逆的に変換しておく処理のこと。万一、不正アクセスなどによりデータベースの情報が流出した際の対策になる。

 今回の調査では、4割以上のサービスがパスワードのハッシュ化を行っておらず、特に無料サービスでは7割がハッシュ化を行っていなかったとしている。

 パスワード保管時の暗号化・ハッシュ化の実施状況の項目では、「ハッシュ化のみ実施している」が14%(4社)、「暗号化、ハッシュ化の両方を実施している」が43%(12社)、「暗号化のみ実施している」が29%(8社)、「暗号化、ハッシュ化のいずれも実施していない」が14%(4社)となっている。

 ハッシュ化の実施率についてサービスの有料・無料の別で見ると、有料を含むサービス(18社)では実施率が72%(13社)なのに対して、無料のみのサービス(10社)では30%(3社)にとどまっている。

 このほか、ハッシュ化の実施企業16社については、保護強化の処理として、パスワードに文字列を追加してからハッシュ化する“ソルト”と、ハッシュ化を繰り返す“ストレッチング”の実施の有無についても聞いている。

パスワード保管時の暗号化、ハッシュ化、ソルト、ストレッチングの実施状況(「ウェブサービスに関するID・パスワードの管理・運用実態調査結果のポイント」より)

 不正ログイン試行対策としては、同一IDに対してパスワードを変えながらログインを試行する“ブルートフォース攻撃”への対策の1つである、同一IDのログイン失敗回数制限を導入していた企業は82%(23社)に上った。その一方で、同一パスワードに対してIDを変えながらログイン試行する“リバースブルートフォース攻撃”への対策の1つである、同一IPアドレスからのログイン試行回数制限については、実施率は43%(12社)にとどまっている。

同一ID・同一IPアドレスに対する不正ログイン対策の実施状況(「ウェブサービスに関するID・パスワードの管理・運用実態調査結果のポイント」より)

(永沢 茂)