Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

約3分の1が不正ログイン被害を経験 - 半数弱がPW保存時ハッシュ化せず

ウェブサービスを提供する約3分の1の企業が、不正ログインの被害を経験しているとの調査を総務省が取りまとめた。その一方でユーザーが設定するパスワードに文字種や文字数を制限するケースは少なくなく、4割以上の企業が、保管するパスワードをハッシュ化していなかったという。

同省が、ウェブサービスを提供する企業におけるIDやパスワードの管理実態について調査したもの。2月から3月にかけて、金融や通信販売、ゲーム、交通、通信など約200社へ調査を依頼、

20150730_so_001.jpg
不正アクセスの被害経験(グラフ:総務省)

匿名による集計、公表を行うことを前提に調査を依頼したが、不正アクセスの被害有無、パスワード管理方法などに関する調査で回答を控える企業が多く、回答は28社にとどまった。

調査結果を見ると、32%が不正ログインの被害を経験。さらに有料サービスを提供している企業に限ると、半数が不正ログインの被害を受けていたという。

利用者側で設定できるパスワードを尋ねたところ、アルファベットの「大文字」「小文字」および「数字」「記号」の4種類とする回答が57%で最多だった。「大文字」「小文字」「数字」3種類を使えるとの回答が32%で続く。一方「大文字」「小文字」の2種類しか利用できないケースや、「大文字」のみのケースもわずかながら見られた。

20150730_so_002.jpg
利用可能な文字種および文字数(グラフ:総務省)

パスワードに設定できる文字数の上限について尋ねたところ、12文字以上の企業が75%と4分の3にのぼる一方、25%の企業では12文字未満に制限されていた。さらに8文字未満のパスワードしか設定できないサービスも一部あったという。最低文字数の制限については、8文字未満の企業が46%にのぼり、4文字以下とする企業も14%ある。

サービス運用側でパスワードを保存する際、ハッシュ化せずにパスワードを保存している企業が43%にのぼった。また無料サービスに絞ると、7割がハッシュ化を行っていなかったという。

その一方でハッシュ化している企業の50%がさらなる対策を講じている。44%がソルトを追加していたほか、25%が繰り返してハッシュ化を行うストレッチングを実施していた。

同一IDからのログイン試行において、失敗回数の制限を儲けている企業は82%にのぼる一方、同一IPアドレスからのログイン試行について回数制限を行っているケースは約43%だった。

(Security NEXT - 2015/07/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

求人掲載企業の管理ページに不正アクセス - 求人情報サイト
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
セキュリティ相談、前四半期比46.9%増 - 「偽警告」が倍増
ケーズデンキ通販サイトに不正ログイン - 約300万円の不正注文
統合DBシステムで不正ログイン被害、改ざんも - 上智大
学内端末でクラウドサービスのユーザー情報が閲覧可能に - 東大
3Qのセキュ相談、前四半期比約27%減 - 「不正ログイン」は過去最多
「Proself」にゼロデイ脆弱性 - 暫定対応や侵害有無の確認を
ネット取引サービスに不正ログイン、株式不正売却も - SMBC日興証券
2Qのセキュ相談、前四半期比約12%増 - 「偽警告」過去最多