パスワードはもう、知られてしまっている！を前提に考えるセキュリティ

メニュー

標的型メール訓練と言えば、標的型攻撃メール対応訓練実施キット TOP
セキュリティマネジメント
パスワードはもう、知られてしまっている！を前提に考えるセキュリティ

サイトへの不正ログインや、マルウェアによる不正送金の被害が相次いで発生しています。サイトへの不正ログインなどは日常茶飯事的に発生しているような印象を受けます。先日も某社から、サイトが不正ログインの被害に遭ったので、ログインパスワードを強制的に変更させて頂きました。との通知がありました。

このような問題に対する対策として、「今設定されているパスワードを変更する」というのは当然に必要ではあると思いますが、これからは、それだけで済ませてはいけない。と考えた方が良さそうです。

今後も不正ログインは無くならないでしょう。何故なら・・・

不正ログイン対策として、パスワードを変更するというのは当然に行われるわけですが、このような対策は、次の２つの理由から、必ずしも有効ではないと考えるべきです。

人が思いつく大抵のパスワードは既に知られてしまっている。

パスワードを変えないか、安易なパスワードを設定する人が少なからず存在する。

１．については、これまでに流出しているログイン情報が攻撃者同士の横のつながりによってデータベース化され、「辞書」として流通してしまっていると考えれば、もはやこのように考えるべきでしょう。

何十万、何百万通りものパスワードがデータベース化されていたら、人が思いつく大抵のパスワードは、その「辞書」に載っている可能性が高いと考えるべきです。

パスワードを変更したとしても、それが攻撃者が持っている「辞書」に載っているものだったら、破られるのは時間の問題かもしれません。

じゃあ、人が思いつかないようなパスワードを使えばいいんじゃないの？と思うかもしれませんが、人が思いつかないようなパスワードは忘れやすいので、日々のことを考えれば、思い出しやすいパスワード、つまり、思いつきやすいパスワードが使われる可能性は高いと考えられます。

そして２．について言えば、ユーザーの数が多くなればなる程、様々な理由から、パスワードを変えなかったり、変えたとしても、安易なパスワードを設定するような方が少なからず発生するものです。

忙しくて・・・とか、面倒くさくて・・・、など、理由は様々ですが、管理者側が求める強度のパスワードを使ってくれない。一度設定したらそのまんま。

これでは、攻撃者に不正ログインの機会を与えてしまっているようなものですが、当のご本人に協力いただけなかったり、また、協力してもらうことが難しい状況にあったら、管理者側としてはどうしようもありません。

パスワードは知られてしまっているものとして対策を考える

パスワードを変えたとしても、そのパスワードは既に知られてしまっているものの一つかもしれない、また、攻撃者に見破られやすいパスワードを使っているユーザーが少なからず存在する。という状況では、パスワードで防御するという考えはもう通用しない。と考えた方が良いかもしれません。

パスワードは既に知られてしまっているとしたら、どうやって防御するか？

もちろん、設定されたパスワードが何であるか？を解析するのに時間がかかることを考えれば、パスワードを設定し、一定のサイクルで変更を行うことは、サイトへの不正ログインを検知したり、不正ログインの兆候が見られた際に、対処を行うための時間稼ぎをするためにも、有効な方法であることは間違い有りません。

しかし、24時間365日、何時起こるかわからない不正アクセスのために、監視端末の前に人手をはり付けるのは、費用と人員の問題から難しいということはあるかと思います。攻撃者側は自動運用によって、寝ている間も攻撃ができるのに対し、守る側は自動で防御するということができませんから、大きなハンデです。

時間さえあればログインされてしまう可能性があることを考えれば、次のような方法などを組み合わせることも考えた方がよさそうです。

PCとスマートフォンなど、複数の端末を使わないとログインできないようにするなどにより、パスワードが知られてしまっていても、攻撃者側からは物理的にログインすることが難しい状況を作る。
複数のサーバーにデータを分散し、個々のサーバーからデータが盗まれても、それだけではデータとして用をなさないような仕組みにする。
他の機器にワンタイムパスワードを表示する、ログイン時に簡単なパズルを解かせるなど、人の手を介さないとログインができないようにする。

これまでは、ログインIDとパスワードの組み合わせによって大事な情報を守るという方法が主流でしたが、今後はそれだけではなく、さらに別な方法も組み合わせることによって大事な情報を守るというのが主流となってくるでしょう。

では、具体的にどのような方法が利便性が高く、効果的な方法と言えるのか？これからはそんな議論も活発になってくるのではないかと思います。

←前の記事へ（誤送信防止のためにも、メールのマナーを改めて見直そう）
→次の記事へ（スクエニを騙るフィッシングメールが、未だに送られている現実）

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

利用期限なし！の「キット評価版（無料）」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、利用期限なしでお使い頂ける「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!

パスワードはもう、知られてしまっている！を前提に考えるセキュリティ