「不正ログイン」を防止するための事業者向け対策集 - 総務省

総務省は、ポータルサイトやインターネットサービスで「不正ログイン」による被害が多発していることを受け、被害を防止するために事業者向けの対策集を公開した。被害の予防や拡大を防ぐ対策を整理し、それぞれのメリットやデメリットなどを解説している。

何らかの手段により入手したIDやパスワードのリストを用いて、第三者が本人になりすまして、インターネット上のサービスにログインを試みる「パスワードリスト攻撃」が多発していることを受けて、事業者向けの対策集を公開したもの。「情報セキュリティアドバイザリーボード」により議論を踏まえ、取りまとめた。

こうした攻撃の増加は、インターネット経由で提供されるサービスが増加し、IDとパスワードによってログインすることで、個人情報やクレジットカードといった信用情報が入手できるようになっていることが背景にあると説明。

パスワードの使い回しを避けるなど、利用者による対策が重要である一方、不正アクセスを受け、個人情報が漏洩した企業も、コンプライアンスの問題を問われ、信用を損ねるおそれあると指摘している。

さらに調査や復旧作業によりサービスが停止することで逸失利益が生じる可能性もあることから、適切な対策の実施が重要であるとし、管理する情報資産の価値に応じて適切な対策を講じるよう求めている。

具体的には、攻撃を予防するための対策として、「注意喚起の実施」「パスワードの有効期限の設定」「多要素認証」「一定期間利用がないアカウントの廃止」「容易なパスワードを承認しないこと」などを挙げて効果などを説明。

一方、「パスワードの有効期限を設定」する対策では、利用者に頻繁に変更を求めることで、逆に安易なパスワードを設定しまい、危険性を高める可能性があるなど、デメリットについても言及している。

また被害の拡大を防ぐ方策として、複数回の認証を失敗したアカウントの停止、攻撃元となっている特定IPアドレスからの通信を遮断、ログイン履歴の表示などについて解説。メリットやデメリット、コスト、利便性への影響などを踏まえた上で対策を検討するよう呼びかけている。

（Security NEXT - 2013/12/18 ）ツイート