Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

約3分の1が不正ログイン被害を経験 - 半数弱がPW保存時ハッシュ化せず

ウェブサービスを提供する約3分の1の企業が、不正ログインの被害を経験しているとの調査を総務省が取りまとめた。その一方でユーザーが設定するパスワードに文字種や文字数を制限するケースは少なくなく、4割以上の企業が、保管するパスワードをハッシュ化していなかったという。

同省が、ウェブサービスを提供する企業におけるIDやパスワードの管理実態について調査したもの。2月から3月にかけて、金融や通信販売、ゲーム、交通、通信など約200社へ調査を依頼、

20150730_so_001.jpg
不正アクセスの被害経験(グラフ:総務省)

匿名による集計、公表を行うことを前提に調査を依頼したが、不正アクセスの被害有無、パスワード管理方法などに関する調査で回答を控える企業が多く、回答は28社にとどまった。

調査結果を見ると、32%が不正ログインの被害を経験。さらに有料サービスを提供している企業に限ると、半数が不正ログインの被害を受けていたという。

利用者側で設定できるパスワードを尋ねたところ、アルファベットの「大文字」「小文字」および「数字」「記号」の4種類とする回答が57%で最多だった。「大文字」「小文字」「数字」3種類を使えるとの回答が32%で続く。一方「大文字」「小文字」の2種類しか利用できないケースや、「大文字」のみのケースもわずかながら見られた。

20150730_so_002.jpg
利用可能な文字種および文字数(グラフ:総務省)

パスワードに設定できる文字数の上限について尋ねたところ、12文字以上の企業が75%と4分の3にのぼる一方、25%の企業では12文字未満に制限されていた。さらに8文字未満のパスワードしか設定できないサービスも一部あったという。最低文字数の制限については、8文字未満の企業が46%にのぼり、4文字以下とする企業も14%ある。

サービス運用側でパスワードを保存する際、ハッシュ化せずにパスワードを保存している企業が43%にのぼった。また無料サービスに絞ると、7割がハッシュ化を行っていなかったという。

その一方でハッシュ化している企業の50%がさらなる対策を講じている。44%がソルトを追加していたほか、25%が繰り返してハッシュ化を行うストレッチングを実施していた。

同一IDからのログイン試行において、失敗回数の制限を儲けている企業は82%にのぼる一方、同一IPアドレスからのログイン試行について回数制限を行っているケースは約43%だった。

(Security NEXT - 2015/07/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

通販サイトへPWリスト攻撃、遮断直後に発信国変更して継続
IPA、サイトのセキュリティ対策20カ条を解説 - CLも公開
「ゆうちょ銀」の偽サイトに注意 - 「合言葉」など詐取
「不正ログインでリセット」とウソ - 「三井住友カード」装うフィッシングに注意
PWリスト攻撃によるログイン試行を検知 - ディノス・セシール
「不正ログイン」の相談、前四半期比66.2%増 - 調査開始以降最多
2018年「セキュリティ10大脅威」 - 注目高まる「サプライチェーン攻撃」
職員が自動転送していたフリーメールに不正アクセス、個人情報が流出 - 兵庫教育大
抜け漏れないウェブのセキュリティ対策を - IPAがポイント20カ条
なりすまし仮会員登録、約7時間に約29万件 - サンドラッグ