4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ

  • このエントリーをはてなブックマークに追加

 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は10月2日、2008年9月および第3四半期のコンピュータウイルス、不正アクセスの届出状況をまとめ、発表した。9月に寄せられた相談や届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウントを不正に利用されたという被害が複数あったという。

 相談の中には、数字だけの組み合わせや簡単な英単語をパスワードに設定していたために容易に見破られ、アカウントを不正に利用されたと推測されるケースがあった。オークションサイトなどのサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があるため、パスワードの作成や管理には十分な注意が必要としている。

 オークションなどのサービスを提供するウェブサイトでは、パスワードを作成する際に「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースをよく見かける。この方法は破られにくいパスワードを作成するポイントとなる。パスワード破りに使用される「パスワード解析ツール」を使うと4桁の英字のみのパスワードは約3秒で判明できるが、大小の英字と数字の組み合わせでは約50年かかるとのこと。

 このため、パスワードには文字の種類をできるだけ多く使い、原則8桁以上を設定するようIPA/ISECは呼びかけている。また、パスワードを記録しておく場合にはIDとパスワードを別々に保管し、月1回など定期的に変更するべきとした。インターネットカフェなど不特定多数が利用するパソコンには入力しないといったこともポイントという。

 2008年9月のコンピュータウイルス、不正アクセスの届出状況をみると、ウイルスの検出数は約22万個と、8月の約19万個から15.1%増加した。また、9月の届出件数は1875件となり、8月の1811件から3.5%増加している。検出数の1位は「W32/Netsky」で約19万個、2位は「W32/Autorun」で約1万2000個、3位は「W32/Virut」で約9000個であった。

 不正アクセスの届出および相談の受付状況は、届出件数が14件、相談件数が38件であった。このうち何らかの被害に遭ったものは、それぞれ12件、20件となっている。被害届出の内訳は、侵入6件、DoS攻撃が1件、アドレス詐称が1件、それ以外が4件。また、9月の相談総件数は2154件であり、過去最多だった前月をさらに大幅に上回った。このうちワンクリック不正請求に関する相談が651件(8月は545件)と4カ月連続で過去最悪記録を更新している。

 2008年第3四半期(7月〜9月)でみると、ウイルスの届出件数は5134件。不正アクセスは届出件数が48件で、前四半期の約1.5倍となった。被害があった件数は同1.6倍となっている。

 IPAに届けられた48件のうち、実際に被害があった届出は40件と全体の83.3%を占めた。これらの原因の内訳は、IDやパスワード管理不備が11件、古いバージョンの使用やパッチ未導入が2件、設定不備が2件などとなっている。なお、届出者の分類は教育、個人、法人でほぼ同率であった。

  • このエントリーをはてなブックマークに追加