Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「不正ログイン」を防止するための事業者向け対策集 - 総務省

総務省は、ポータルサイトやインターネットサービスで「不正ログイン」による被害が多発していることを受け、被害を防止するために事業者向けの対策集を公開した。被害の予防や拡大を防ぐ対策を整理し、それぞれのメリットやデメリットなどを解説している。

何らかの手段により入手したIDやパスワードのリストを用いて、第三者が本人になりすまして、インターネット上のサービスにログインを試みる「パスワードリスト攻撃」が多発していることを受けて、事業者向けの対策集を公開したもの。「情報セキュリティアドバイザリーボード」により議論を踏まえ、取りまとめた。

こうした攻撃の増加は、インターネット経由で提供されるサービスが増加し、IDとパスワードによってログインすることで、個人情報やクレジットカードといった信用情報が入手できるようになっていることが背景にあると説明。

パスワードの使い回しを避けるなど、利用者による対策が重要である一方、不正アクセスを受け、個人情報が漏洩した企業も、コンプライアンスの問題を問われ、信用を損ねるおそれあると指摘している。

さらに調査や復旧作業によりサービスが停止することで逸失利益が生じる可能性もあることから、適切な対策の実施が重要であるとし、管理する情報資産の価値に応じて適切な対策を講じるよう求めている。

具体的には、攻撃を予防するための対策として、「注意喚起の実施」「パスワードの有効期限の設定」「多要素認証」「一定期間利用がないアカウントの廃止」「容易なパスワードを承認しないこと」などを挙げて効果などを説明。

一方、「パスワードの有効期限を設定」する対策では、利用者に頻繁に変更を求めることで、逆に安易なパスワードを設定しまい、危険性を高める可能性があるなど、デメリットについても言及している。

また被害の拡大を防ぐ方策として、複数回の認証を失敗したアカウントの停止、攻撃元となっている特定IPアドレスからの通信を遮断、ログイン履歴の表示などについて解説。メリットやデメリット、コスト、利便性への影響などを踏まえた上で対策を検討するよう呼びかけている。

(Security NEXT - 2013/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

ニコニコ狙う不正ログイン攻撃、数百万回規模の試行 - 分散したIPアドレスより攻撃
CAD製品のユーザー登録サイトに不正アクセス - エーアンドエー
ドメイン管理にメールによる追加認証をオプションで提供 - GMO
2018年1Qの不正アクセス届出は11件、7件で被害 - 「不正ログイン」相談は52件
元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用 - システム開発会社
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
「不正ログイン対策」や「家庭用IoT機器のセキュリティ」学ぶ動画
中部大でランサムウェア被害 - 不正ログイン後にインストールか
不正ログインの被害相談、直近5カ月で104件 - IPAが対策呼びかけ
「端末がウイルスに感染」と脅して偽サイトへ誘導 - ドコモかたるフィッシング