ニュース

「すべてのネットサービスで異なるパスワードを」、IPAが対策を呼び掛け

 独立行政法人情報処理推進機構(IPA)は1日、IPAからの「今月の呼びかけ」として、各種のインターネットサービスで同じパスワードを使い回すことは避け、すべてのインターネットサービスで異なるパスワードを使うよう注意を喚起した。

 IPAでは、なんらかの方法で入手したIDとパスワードのリストを流用してログインを試みる「パスワードリスト攻撃」の被害が続いており、こうした攻撃によりログインが成立したIDとパスワードの組み合わせは、他の不正アクセスに悪用され、最終的には金銭的被害に結び付くものと考えられると指摘している。

 こうした攻撃が成立する背景としては、同じパスワードを様々なインターネットサービスで使い回す利用者が多いことが挙げられ、パスワードリスト攻撃はこの状況に目をつけた攻撃手法だと説明。また、大規模なパスワードリスト攻撃は報道などで大きくとりあげられるが、それらは氷山の一角である可能性があり、自分の使っているサービスに攻撃被害の報道がない場合でも決して安心はできないとしている。

パスワードリスト攻撃を受けたことを2013年4月以降公表した企業のうち、「試行件数」と「成立件数」の両方が公表された主なもの(IPAの発表資料より)

 ただし、実際に複数のIDとパスワードの組み合わせを暗記することは困難であり、なんらかの形でリストとして保持することが現実的な解だと説明。IDとパスワードを記載したリストを、パスワード付きの電子ファイルとして保持しておくことを推奨している。インターネットバンキングなど金銭に絡む重要なものについては、IDとパスワードのリストを別々のファイルに分けて保持することも勧めている。

 不正ログインの被害に遭ったことが判明した場合は、可能であればさらなる被害を防ぐためにパスワードをすぐに変更し、サービス会社のサポート窓口に連絡して実被害が生じた場合の補償や今後の対応についての説明を受けてほしいとしている。また、不正ログインされたIDの決済情報としてクレジットカードが紐付いている場合は、不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡することを対処策として挙げている。

(三柳 英樹)