Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

パスワードは侵害されても変更されない

つぶやいてみた。

米国消費者に対する調査データは、セキュリティ担当者にとっては”衝撃的”な内容かも知れません。

www.infosecurity-magazine.com

Identity Theft Resource Center(ITRC)の新しい調査によると、データ侵害後のベストプラクティスの認識と実行されたアクションの間には、「驚くほど高い」断絶があり ます。

 ポーリングされた非営利 1000人の米国の消費者の上には、彼らの理解と個人情報に関わる違反事件への応答を測定します。

レポートによると、ソーシャルメディアユーザーの半数以上(55%)が過去にアカウントを侵害したことがあるため、個人のセキュリティを強化するために何ができるかについては、一般的に高いレベルの認識があります。

ただし、回答者の5分の1近く(16%)が、違反後に何もしなかったと述べています。影響を受けるパスワードを変更したのは半数未満(48%)で、すべてのパスワードを変更したのは5分の1(22%)のみでした。

 

キタきつねの所感

数字を整理すると、 ※分かりやすくする為に全体を100人として試算します

・55%が過去にSNSアカウント侵害された経験を持ち ※侵害無:45人

・(被害を受けた55人の)16%が侵害後に何もせず ※PW脆弱+共通PW脆弱:9人

・(被害を受けた55人の)48%が、侵害アカウントのPWを変更 ※共通PW脆弱:26人

・(被害を受けた55人の)22%が、関連する(共通)PWを変更 ※PW脆弱性無:12人

・その他:8人

 

最初の侵害を受けなかった45%が強固なパスワードを設定したいたのか?と考えると、たままたアカウント侵害を受けなかった方と、2段階認証等をきちんと対策していた方が混じっているのかと思いますが、とりあえず除外します。

 

問題なのは、記事でも指摘されている通り、アカウント侵害を受けたにも関わらず、「何もしない人が1/5近く存在する」という事になります。

上記は日本の消費者に対する調査データではありませんが、IDとパスワードだけで会員認証を行っている様なサービスは、ログイン日時や、ログイン(アクティビティ)通知をユーザーに対して行って、仮にそこで不正アクセスをユーザー側で認識しても「5人に1人」は何もしない可能性がある、つまり不正アクセス被害が発生してしまう可能性が高いのです。

 

また、ここがやっかいな所なですが、多くのユーザーが「パスワードの使い回し」をしているという現実です。記事では以下の様にデータを出しています。

85%が複数のアカウントでログインを再利用することを認め、資格情報が詰め込まれるリスクがある場合、これは特に心配です。

「一意のパスワードを使用しない理由を尋ねられたとき、52%はパスワードを覚えるのが難しすぎると答え、48%はパスワードマネージャーの使い方を信用していない、または知らない、46%はパスワードが重要だとは思わない、またはパスワードを信じていない慣行は十分に良い」と報告書は述べている。

(Infosecurity Magazine記事より引用)※機械翻訳

 

パスワードの再利用(≒使い回し)をしている人の比率が85%なのは、かなり高い数字な気がしますが、日本で調査したとしても(体感ですが)50%以上の数字が出てくる可能性が高いかと思います。

 

先ほどの数字試算に戻って考えると、アカウント侵害を受けた48%が、侵害を受けたサイト(Aサービス)のパスワードしか変更していません。つまり、攻撃者がパスワードを使い回ししている他のサイト(Bサービス)にパスワードリスト攻撃等の攻撃をしたとすると、不正アクセスはかなりの確率で成功する事を示唆しています。

※パスワードの使い回しに対処したのは・・・上記の単純試算だと12%しかいませんので、8(Aサービス以外の)88%のアカウントが危ない事になります。

 

やっかいな事に、Bサービス側は、Aサービスで自社のユーザーがアカウント侵害を受けた事を知りませんし、自社(Bサービス)のユーザーが他のサービス(Aサービス等)とパスワードを使い回している事も知りません

 

こうした漏洩情報は、侵害を受けた会員サービスだけでなく、企業サイトやECサイトなどより機微な情報を扱うサイトの攻撃にも使われる可能性があり、サービス提供側は、ユーザーのセキュリティモラル(セキュリティ衛生)を過度に期待すると痛い目に遭う、それがこうした調査データから読み取れる「現実」である気がします。

 

ユーザー側の10-20%は「サイバー衛生」意識の欠片もなくセキュリティはサービス提供側(管理者側)の責任。程度にしか考えてない可能性が高いと考えて、サービス提供側は、侵害を受ける事を前提とした、セキュリティ体制を強化していく事、それが重要なのかと思います。

 

余談です。同じ”パスワード問題”ですが、先日発表されたNordPassの最悪なパスワード2021(Top200)での、日本語パスワードを調べていたのですが、少し分析に時間がかかりそうだったので、また時間が取れた時にでも作業できればと思っています。

nordpass.com

 

参考:

新ホワイトペーパー「日本人のためのパスワード2.0」リリースのお知らせ | JCPC | 一般社団法人日本プライバシー認証機構(JPAC)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 アカウント乗っ取りのイラスト

 

更新履歴

  • 2021年11月21日 AM