パスワードリスト攻撃のリスクは企業システムにも：シマンテックの調査に見る「パスワード」のいま

シマンテックが行った「個人・企業のパスワード管理に関する意識調査」によると、個人で利用しているパスワードを企業システムに「流用」しているユーザーが一定数存在することが明らかになった。

[宮田健，＠IT]

　シマンテックは2013年10月30日、「個人・企業のパスワード管理に関する意識調査」記者説明会を開催した。企業のIT部門管理者、そして一般ユーザーの「パスワード」に対する考え方の差から、起こりうる将来の脅威を予測しうる結果となった。

増える「パスワードリスト攻撃」、根本原因はパスワードの使い回し

シマンテック SSL製品本部　SSLプロダクトマーケティング部 上席部長 安達 徹也氏

　パスワードリスト攻撃とは、あるWebサイトから不正に入手したアカウント名とパスワードを、別のWebサイトに対してログインを試みるというものだ。ユーザーが同一のアカウント名、パスワード名を使い回していた場合、ログインの成功率は従来のパスワード総当たり攻撃に比べるとはるかに高い上に、サイト運営者側から見ると例え厳格なシステム運用を心掛けていたとしても成功してしまう可能性があり、正常なログインなのか使い回しによるログインなのかを判断することは難しい。このため、2013年8月に情報処理推進機構（IPA）からもパスワードの使い回しを避けるよう、注意喚起が出ている。

　シマンテックの「個人・企業のパスワード管理に関する意識調査」では、企業Webサイト管理者／IT管理者向け、およびネットユーザー向けにパスワードに関するアンケートを行っている。立場の違う2つのグループに対し同内容の質問を行うことで、その意識の違いを調査した。

　例えば、パスワードの流用について「個人で利用するサイトと企業システムとで必ず分けるようにしている」と答えたIT管理者は61％に上ったが、ネットユーザーに対して同じ質問を行った結果、「必ず分ける」と答えたのは34.3％と低かった。また、企業と個人で同じパスワードを利用している／意識していないと回答したのは合わせて27％おり、個人で利用しているパスワードを企業でも「流用」していることがうかがえる。

「リモートアクセスのIDはどのようなものを利用しているか？」という質問に対する企業Webサイト管理者の回答。55％の企業が「類推可能」なIDを使っている（シマンテック調べ）

　企業のリモートアクセスのIDについての調査では、氏名や社員番号、メールアドレスのアカウントなどから類推可能なアカウントになっているとの回答が55％を占め、多くの企業で類推可能なアカウントをリモートアクセスに利用しているとの結果が出た。

　これらを踏まえると、アカウントが類推可能、そしてパスワードは使い回しを行っていることになり、現在はコンシューマ向けWebサービスで問題になっているパスワードリスト攻撃が、企業システム担当者にとっても対岸の火事ではないということが導き出せる。

個人サイトと企業システムとで同じパスワードを流用していると、企業システムに対してもパスワードリスト攻撃が可能に

もう自助努力には頼れない――望まれる「ユーザーの利便性を損ねないセキュリティ対策」

　シマンテック SSL製品本部　SSLプロダクトマーケティング部 上席部長 安達 徹也氏は、企業システム担当者の多くはパスワードリスト攻撃の脅威を認識してはいるものの、個人としては増え続けるWebサービスへの対処としてパスワードを使い回さざるを得ない現状があると述べる。企業システム担当者と従業員のパスワードに関する意識には差があるものの、この矛盾を解決する方向性として「ユーザーの利便性を損ねないセキュリティ対策」が必要だと安達氏は指摘する。

　このギャップを埋めるために、「ユーザーの意識を向上させる」「パスワードのけた数を増やす」「変更の頻度を上げる」などの対処はすでに現実的ではなく、従来よりも踏み込んだ対策が必要とした。

　シマンテックではこのソリューションとして、Webサイト多層防御モデルを提示、ワンタイムパスワードを含めた多要素認証を導入できる「Symantec Validation and ID Protection」（VIP）や、クラウド型WAFによる攻撃検知／抑制を挙げた。