Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

約3分の1が不正ログイン被害を経験 - 半数弱がPW保存時ハッシュ化せず

ウェブサービスを提供する約3分の1の企業が、不正ログインの被害を経験しているとの調査を総務省が取りまとめた。その一方でユーザーが設定するパスワードに文字種や文字数を制限するケースは少なくなく、4割以上の企業が、保管するパスワードをハッシュ化していなかったという。

同省が、ウェブサービスを提供する企業におけるIDやパスワードの管理実態について調査したもの。2月から3月にかけて、金融や通信販売、ゲーム、交通、通信など約200社へ調査を依頼、

20150730_so_001.jpg
不正アクセスの被害経験(グラフ:総務省)

匿名による集計、公表を行うことを前提に調査を依頼したが、不正アクセスの被害有無、パスワード管理方法などに関する調査で回答を控える企業が多く、回答は28社にとどまった。

調査結果を見ると、32%が不正ログインの被害を経験。さらに有料サービスを提供している企業に限ると、半数が不正ログインの被害を受けていたという。

利用者側で設定できるパスワードを尋ねたところ、アルファベットの「大文字」「小文字」および「数字」「記号」の4種類とする回答が57%で最多だった。「大文字」「小文字」「数字」3種類を使えるとの回答が32%で続く。一方「大文字」「小文字」の2種類しか利用できないケースや、「大文字」のみのケースもわずかながら見られた。

20150730_so_002.jpg
利用可能な文字種および文字数(グラフ:総務省)

パスワードに設定できる文字数の上限について尋ねたところ、12文字以上の企業が75%と4分の3にのぼる一方、25%の企業では12文字未満に制限されていた。さらに8文字未満のパスワードしか設定できないサービスも一部あったという。最低文字数の制限については、8文字未満の企業が46%にのぼり、4文字以下とする企業も14%ある。

サービス運用側でパスワードを保存する際、ハッシュ化せずにパスワードを保存している企業が43%にのぼった。また無料サービスに絞ると、7割がハッシュ化を行っていなかったという。

その一方でハッシュ化している企業の50%がさらなる対策を講じている。44%がソルトを追加していたほか、25%が繰り返してハッシュ化を行うストレッチングを実施していた。

同一IDからのログイン試行において、失敗回数の制限を儲けている企業は82%にのぼる一方、同一IPアドレスからのログイン試行について回数制限を行っているケースは約43%だった。

(Security NEXT - 2015/07/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ニコニコ狙う不正ログイン攻撃、数百万回規模の試行 - 分散したIPアドレスより攻撃
CAD製品のユーザー登録サイトに不正アクセス - エーアンドエー
ドメイン管理にメールによる追加認証をオプションで提供 - GMO
2018年1Qの不正アクセス届出は11件、7件で被害 - 「不正ログイン」相談は52件
元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用 - システム開発会社
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
「不正ログイン対策」や「家庭用IoT機器のセキュリティ」学ぶ動画
中部大でランサムウェア被害 - 不正ログイン後にインストールか
不正ログインの被害相談、直近5カ月で104件 - IPAが対策呼びかけ
「端末がウイルスに感染」と脅して偽サイトへ誘導 - ドコモかたるフィッシング