Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「不正ログイン」を防止するための事業者向け対策集 - 総務省

総務省は、ポータルサイトやインターネットサービスで「不正ログイン」による被害が多発していることを受け、被害を防止するために事業者向けの対策集を公開した。被害の予防や拡大を防ぐ対策を整理し、それぞれのメリットやデメリットなどを解説している。

何らかの手段により入手したIDやパスワードのリストを用いて、第三者が本人になりすまして、インターネット上のサービスにログインを試みる「パスワードリスト攻撃」が多発していることを受けて、事業者向けの対策集を公開したもの。「情報セキュリティアドバイザリーボード」により議論を踏まえ、取りまとめた。

こうした攻撃の増加は、インターネット経由で提供されるサービスが増加し、IDとパスワードによってログインすることで、個人情報やクレジットカードといった信用情報が入手できるようになっていることが背景にあると説明。

パスワードの使い回しを避けるなど、利用者による対策が重要である一方、不正アクセスを受け、個人情報が漏洩した企業も、コンプライアンスの問題を問われ、信用を損ねるおそれあると指摘している。

さらに調査や復旧作業によりサービスが停止することで逸失利益が生じる可能性もあることから、適切な対策の実施が重要であるとし、管理する情報資産の価値に応じて適切な対策を講じるよう求めている。

具体的には、攻撃を予防するための対策として、「注意喚起の実施」「パスワードの有効期限の設定」「多要素認証」「一定期間利用がないアカウントの廃止」「容易なパスワードを承認しないこと」などを挙げて効果などを説明。

一方、「パスワードの有効期限を設定」する対策では、利用者に頻繁に変更を求めることで、逆に安易なパスワードを設定しまい、危険性を高める可能性があるなど、デメリットについても言及している。

また被害の拡大を防ぐ方策として、複数回の認証を失敗したアカウントの停止、攻撃元となっている特定IPアドレスからの通信を遮断、ログイン履歴の表示などについて解説。メリットやデメリット、コスト、利便性への影響などを踏まえた上で対策を検討するよう呼びかけている。

(Security NEXT - 2013/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

WAONのポイント不正移行、被害者数を上方修正 - 個人情報流出の可能性も
WAONサイトに「パスワードリスト攻撃」 - 40人でポイント被害
Pマーク、2017年度の事故報告は2399件 - 4件に1件は「メール誤送信」
カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス
四国電力の会員サービスに不正ログイン - 149人でポイント交換被害
「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定
「eoID」で6458件の不正ログイン被害 - 盆休みに約126万回の試行
アンケートサイトが不正ログインを検知 - 他所流出のリストを悪用か
「ウイルス検出の偽警告」相談が2.7倍に - 「不正ログイン」関連も増加
複数IPよりニコニコにPWリスト攻撃 - 5月に続き注意喚起