ITの日常に潜む「落とし穴」と「ツボ」をわかりやすく解説!

1800万件ID漏えいニュースを見ての雑感

»

警視庁が押収したサーバに、約1800万人分のIDが含まれていたとのニュースがでています。

一見驚きの数字ですが、1800万人というのはあくまでIDであって、有効なパスワードとの組み合わせはその中の約1割弱とのことです。パスワードをどこかから不正に入手したというものではなく、IDとパスワードの組み合わせを実際に試してみて有効だったパスワードを記録していく、というやり方だったようです。

このようなケースでは、パスワードを容易に推測されにくいものにする、とか、複数サービス間で同じパスワードを使い回さない、といった利用者個人の注意でも対策としては有効だったように思われます。もちろん、メールやスマートフォンなどと組み合わせる多要素認証は今回の攻撃にも有効です。

推測したパスワードでログインが成功したIDが1割、というこの数字は多いのか少ないのか評価の分かれるところでしょう。例えば以前「password」とか「12345」といった単純なパスワードを使っている利用者は半数近くに上るといった調査結果も出ていましたから、それよりは少ない、という評価もありえます。しかし、1割が不正に突破されてしまうというのは利用者としては余りに不安です。

なお、このような攻撃が注意深く時間をかけて行われた場合、サービス側では検知が難しいことが一般的です。サービスによっては、通常と異なる端末やロケーションからのログインに警告メールを出したり、最終ログイン時間を出すなどの対策がとられていたりします。もし身に覚えのないログインの履歴が表示されている場合には、うやむやに放置したりせずに、このような攻撃の対象となっている可能性を疑うべきでしょう。ご注意ください。

Comment(0)

コメント

コメントを投稿する