→企業の漏洩パスワード6割が脆弱 推測容易で瞬時に突破 (2022年8月26日)
>チー二ョ |
>チー二ョ |
||
| 561行目: | 561行目: | ||
=== 企業の漏洩パスワード6割が脆弱 推測容易で瞬時に突破 (2022年8月26日) === | === 企業の漏洩パスワード6割が脆弱 推測容易で瞬時に突破 (2022年8月26日) === | ||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
{{Archive|https://www.nikkei.com/article/DGXZQOUC258BV0V20C22A7000000/|https://archive.ph/aPtzR|'''企業の漏洩パスワード6割が脆弱 推測容易で瞬時に突破'''}} | |||
<div class="mw-collapsible-content"> | |||
日本の主要企業の社員が設定するバスワードの多くが脆弱であることがわかった。漏洩したパスワード約2万5000件について日本経済新聞が調査したところ、64 %が推測されやすい設定だった。「12345」や「password」といった文字列や名前を使ったもの多い。社員個人が複雑なパスワードを多数管理することには限界もあり、企業の対策が求められそうだ。 | |||
セキュリティ-企業のGMOサイバーセキュリティbyイエラエ(東示・渋谷)の協力を得て、ドメイン情報などをもとに連結売上局上位100社についてダークウェブ(闇サイト群)などに2008年から22年ころにかけて流出した社員のバスワード約2万5000件を収集した。パスワード管理ツールの米サイバーシステムズが提供するサ-ビスを使い、パスワードの強度を4段階で判定した。 | |||
強度は文字数や文字の種類が少なかったり、良く知られた言葉や既に流出しているパスワードと同じ言葉を利用していたりすると低くなる仕組み。64 %にあたる1万6275件はほぼ確実に攻撃者に推測されてしまう「不可」と判定された。攻撃の成功確率が5割未満の「可」は4393件、成功確率4分の1未満の「良」は4405件。攻撃が原則不可能な「優」は173件しかなかった。 | |||
脆弱なパスワードの問題は繰り返し指摘されているが、状況は改善していない。サイバー攻撃対策を手掛ける一般社団法人JPCERTコーディネ-ションセンター (東京・中央)がパスワ-ドについて、12文字以上で大小のアルファベットや数字、記号を組み合わせるよう推奨し始めたのは18年。流出時期が判明している6549件のうち、18 年以降に流出した3698件に絞って調べると、「不可」は90の3332件。「可」が320件、「良」は45件で、「優」は1件しかなかった。 | |||
今回調査したパスワートて判明している漏洩元はSNS (交流サイト)やチケット予約サイトなどのサービスだ。 | |||
独立行政法人の情報処理推進機構(IPA)の調査によると、パソコン利用者の44.6 %はパスワードを使いまわしている。 | |||
7割の漏洩バスワードが「不可」だったあるIT (情報技術)企業のセキュリティー担当者は「個人が利用するネットサービスが増えるにつれて、バスワードの単純化や使いまわしが進んでいる」と危惧する。社内のシステムで強力なバスワードを強制することも可能だが「複雑なパスワードを嫌う社員も多い」という。 | |||
日経の調査で収集したパスワードの内、最も多く利用されたのは「12345」の289件で「password」の138件が続いた。パスワードが解読されてしまう時間を調べるサーピス「ハウ・セキュアー・イズ・マイ・パスワード?」によると、「瞬時」に解析可能だという。社名や名前を使ったパスワードも1時間以内で解析できるものが多い。 | |||
イエラエ社のルスラン・サイフィエフ執行役員は「社内のネットワ-ク管理者が『Password』の一部を改変しただけの設定をしている企業も多い。社内システムをあっさり掌握され、ランサムウェア(身代金要求型ウイルス)などの攻撃を受けやすいリスクがある」と警鐘を鳴らす。 | |||
メールで送られてくるワンタイムバスワ-ドなども利用する2要素認証を導入する企業も多い。しかし、2要素認証も鉄壁ではない。米政府は21年、通信会社をだましてワンタイムバスワードを盗み出す事件を1611件覚知した。18 ~ 20年の年平均の約15倍だ。企業のサイバー防衛に詳しい山岡裕明弁護士は「2要素認証に頼りきって、パスワードを単純にする社員もいる」と弊害も指摘する。 | |||
期待がかかるのが生体認証だ。米グークルや米アップルなど世界のIT大手各社は生体認証を利用した認証システムの標準規格「FIDO (ファイド)」の普及を推進する。推進団体には約250社が加盟し、日本でも楽天グループやLINE、NTTドコモ、ヤフーなとが加わった。ただし、企業には現状でFIDOに対応できない独自のシステムも多い。利便性と安全性を確保するための対策を企業は模索していく必要がある。(寺岡篤志) | |||
</div> | |||
</div> | |||
「企業のサイバー防衛に詳しい山岡裕明弁護士」とあるが、過去には[[山岡裕明(弁護士)#Faithbook、Yahoo! JapanID開示等|Yahoo!メールの秘密の質問を解読され突破]]されたり、[[八雲法律事務所#2021/11/14|自転車の鍵のダイヤルが簡単そうな番号に設定している疑惑が浮上]]しており、パスワードについて偉そうなことを言える立場にはないような気がする。 | |||
===ネット中傷、法の網強化 IT大手の開示対応が課題 (2022年8月29日) === | ===ネット中傷、法の網強化 IT大手の開示対応が課題 (2022年8月29日) === | ||