Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「不正ログイン」を防止するための事業者向け対策集 - 総務省

総務省は、ポータルサイトやインターネットサービスで「不正ログイン」による被害が多発していることを受け、被害を防止するために事業者向けの対策集を公開した。被害の予防や拡大を防ぐ対策を整理し、それぞれのメリットやデメリットなどを解説している。

何らかの手段により入手したIDやパスワードのリストを用いて、第三者が本人になりすまして、インターネット上のサービスにログインを試みる「パスワードリスト攻撃」が多発していることを受けて、事業者向けの対策集を公開したもの。「情報セキュリティアドバイザリーボード」により議論を踏まえ、取りまとめた。

こうした攻撃の増加は、インターネット経由で提供されるサービスが増加し、IDとパスワードによってログインすることで、個人情報やクレジットカードといった信用情報が入手できるようになっていることが背景にあると説明。

パスワードの使い回しを避けるなど、利用者による対策が重要である一方、不正アクセスを受け、個人情報が漏洩した企業も、コンプライアンスの問題を問われ、信用を損ねるおそれあると指摘している。

さらに調査や復旧作業によりサービスが停止することで逸失利益が生じる可能性もあることから、適切な対策の実施が重要であるとし、管理する情報資産の価値に応じて適切な対策を講じるよう求めている。

具体的には、攻撃を予防するための対策として、「注意喚起の実施」「パスワードの有効期限の設定」「多要素認証」「一定期間利用がないアカウントの廃止」「容易なパスワードを承認しないこと」などを挙げて効果などを説明。

一方、「パスワードの有効期限を設定」する対策では、利用者に頻繁に変更を求めることで、逆に安易なパスワードを設定しまい、危険性を高める可能性があるなど、デメリットについても言及している。

また被害の拡大を防ぐ方策として、複数回の認証を失敗したアカウントの停止、攻撃元となっている特定IPアドレスからの通信を遮断、ログイン履歴の表示などについて解説。メリットやデメリット、コスト、利便性への影響などを踏まえた上で対策を検討するよう呼びかけている。

(Security NEXT - 2013/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

中小金融機関のセキュリティ対策底上げが課題 - 金融庁
オリコのクレカ不正申込対策で実証実験
「カメラのキタムラ」で不正ログイン - 不正注文で一部被害も
大企業の17.8%、在宅勤務でセキュリティ上の問題が発生
任天堂で不正ログイン、30万件に影響 - 不正取引は1%未満
アンケートサイトで不正ログイン - ポイントの不正交換も
EC-CUBE特化のクラウド型WAFサービス - イーシーキューブ
不正アクセスでスパム踏み台に - 三芳町社会福祉協議会
2020年1Qセキュ相談、4.8%減 - 「不正ログイン」などの相談は増加
「ニンテンドーネットワークID」に不正ログイン - 約16万アカウントで