Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

約3分の1が不正ログイン被害を経験 - 半数弱がPW保存時ハッシュ化せず

ウェブサービスを提供する約3分の1の企業が、不正ログインの被害を経験しているとの調査を総務省が取りまとめた。その一方でユーザーが設定するパスワードに文字種や文字数を制限するケースは少なくなく、4割以上の企業が、保管するパスワードをハッシュ化していなかったという。

同省が、ウェブサービスを提供する企業におけるIDやパスワードの管理実態について調査したもの。2月から3月にかけて、金融や通信販売、ゲーム、交通、通信など約200社へ調査を依頼、

20150730_so_001.jpg
不正アクセスの被害経験(グラフ:総務省)

匿名による集計、公表を行うことを前提に調査を依頼したが、不正アクセスの被害有無、パスワード管理方法などに関する調査で回答を控える企業が多く、回答は28社にとどまった。

調査結果を見ると、32%が不正ログインの被害を経験。さらに有料サービスを提供している企業に限ると、半数が不正ログインの被害を受けていたという。

利用者側で設定できるパスワードを尋ねたところ、アルファベットの「大文字」「小文字」および「数字」「記号」の4種類とする回答が57%で最多だった。「大文字」「小文字」「数字」3種類を使えるとの回答が32%で続く。一方「大文字」「小文字」の2種類しか利用できないケースや、「大文字」のみのケースもわずかながら見られた。

20150730_so_002.jpg
利用可能な文字種および文字数(グラフ:総務省)

パスワードに設定できる文字数の上限について尋ねたところ、12文字以上の企業が75%と4分の3にのぼる一方、25%の企業では12文字未満に制限されていた。さらに8文字未満のパスワードしか設定できないサービスも一部あったという。最低文字数の制限については、8文字未満の企業が46%にのぼり、4文字以下とする企業も14%ある。

サービス運用側でパスワードを保存する際、ハッシュ化せずにパスワードを保存している企業が43%にのぼった。また無料サービスに絞ると、7割がハッシュ化を行っていなかったという。

その一方でハッシュ化している企業の50%がさらなる対策を講じている。44%がソルトを追加していたほか、25%が繰り返してハッシュ化を行うストレッチングを実施していた。

同一IDからのログイン試行において、失敗回数の制限を儲けている企業は82%にのぼる一方、同一IPアドレスからのログイン試行について回数制限を行っているケースは約43%だった。

(Security NEXT - 2015/07/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

クレカ会員向けサービスにPWリスト攻撃、ポイント交換も - ジャックス
ネットサービスの多要素認証、設定手順を解説 - IPA
「キャリア決済」狙うスミッシング - 2段階認証設定でも被害が
クレカ明細「Vpassアプリ」にPWリスト攻撃 - 約1.6万件がログイン許す
「コーナンPay」がサービス再開 - 個人情報流出は確認されず
アルペンにPWリスト攻撃 - 攻撃者は複数店舗でポイント使用
セシール通販サイトにPWリスト攻撃 - 試行22回を検知
「Chatwork」に675万回以上の不正ログイン試行 - 約1.1万件でログイン成功か
「コーナンPay」にPWリスト攻撃 - 試行回数は数十万件規模か
「クロネコメンバーズ」にPWリスト攻撃 - 不正ログイン3400件