Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「不正ログイン」を防止するための事業者向け対策集 - 総務省

総務省は、ポータルサイトやインターネットサービスで「不正ログイン」による被害が多発していることを受け、被害を防止するために事業者向けの対策集を公開した。被害の予防や拡大を防ぐ対策を整理し、それぞれのメリットやデメリットなどを解説している。

何らかの手段により入手したIDやパスワードのリストを用いて、第三者が本人になりすまして、インターネット上のサービスにログインを試みる「パスワードリスト攻撃」が多発していることを受けて、事業者向けの対策集を公開したもの。「情報セキュリティアドバイザリーボード」により議論を踏まえ、取りまとめた。

こうした攻撃の増加は、インターネット経由で提供されるサービスが増加し、IDとパスワードによってログインすることで、個人情報やクレジットカードといった信用情報が入手できるようになっていることが背景にあると説明。

パスワードの使い回しを避けるなど、利用者による対策が重要である一方、不正アクセスを受け、個人情報が漏洩した企業も、コンプライアンスの問題を問われ、信用を損ねるおそれあると指摘している。

さらに調査や復旧作業によりサービスが停止することで逸失利益が生じる可能性もあることから、適切な対策の実施が重要であるとし、管理する情報資産の価値に応じて適切な対策を講じるよう求めている。

具体的には、攻撃を予防するための対策として、「注意喚起の実施」「パスワードの有効期限の設定」「多要素認証」「一定期間利用がないアカウントの廃止」「容易なパスワードを承認しないこと」などを挙げて効果などを説明。

一方、「パスワードの有効期限を設定」する対策では、利用者に頻繁に変更を求めることで、逆に安易なパスワードを設定しまい、危険性を高める可能性があるなど、デメリットについても言及している。

また被害の拡大を防ぐ方策として、複数回の認証を失敗したアカウントの停止、攻撃元となっている特定IPアドレスからの通信を遮断、ログイン履歴の表示などについて解説。メリットやデメリット、コスト、利便性への影響などを踏まえた上で対策を検討するよう呼びかけている。

(Security NEXT - 2013/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

2Qセキュ相談、前四半期比約25%減 - 半減するも依然多い「Emotet」相談
個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化
サンドラッグの複数関連サイトにPWリスト攻撃
読売新聞オンライン、アカウント2070件に不正ログインの疑い - 試行や失敗の増加も
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件
ビューカードのオンライン会員サービスで不正ログイン被害
オンライン書店「honto」で不正ログインの可能性
電子書籍ストアに不正ログイン - 外部でPWなど入手か
看護関係者向け会員サイトにPWリスト攻撃 - P不正交換も
ブラザー会員サイトで不正ログイン、P交換被害も - 3月末からアクセス急増