英国の国家サイバーセキュリティセンター(NCSC)は、初の「UK Cyber Survey」の結果を発表した。世界で発生したサイバー侵害において、第三者が利用したパスワード10万種類についての分析結果も併せて発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
英国政府通信本部(GCHQ)傘下の英国国家サイバーセキュリティセンター(NCSC)は2019年4月21日(英国時間)、初の「UK Cyber Survey」(英国サイバー調査)の結果を発表した。世界で発生したサイバー侵害も対象としており、第三者がアクセスに用いたパスワードのうち、よく使われた10万種類について分析した結果も明らかにした。
英国政府はUK Cyber Surveyの結果を踏まえて、サイバーセキュリティに関する政策を修正し、企業、組織、個人に対するガイダンスを行っていく。
UK Cyber Surveyのハイライトは次の通り。
世界で発生したサイバー侵害で第三者によってアクセスされたパスワードのうち、よく使われる10万種類についての分析では、国際的なWebセキュリティの専門家トロイ・ハント氏の協力を得て、同氏がWebサイト「Have I Been Pwned」で公開しているデータを使って進めた。
このサイトでは、ユーザー自らのアカウントがデータ侵害で流出していないかどうか、チェックできる。
NCSCがまとめた分析結果のハイライトは表の通り。例えば「123456」というパスワードはハント氏が収集した侵害事例で約2300万回も使われており、最も危険なパスワードだと言える。NCSCは一般的な単語であっても危険だと指摘している。例えば「oreocookie」(オレオ)のような単語でも、3000回以上侵害事例で使われていた。
NCSCが10万種類の危険なパスワードを公開した理由はこうだ。攻撃者が、組織の内外を分ける防壁を侵害しようとしているときや、ネットワークに侵入後、防御力の低い可能性があるシステムに移動しようとするときに、このようなリストを使用するからだ。
ネットワークのセグメンテーションが不十分な組織に対してはこのような攻撃が成功しやすい。いったん企業ネットワークが侵害されてしまえば、内部ネットワークを横方向に容易に移動されてしまう。
今回の調査は、英国政府の国家サイバーセキュリティプログラムの一環として、NCSCと英国デジタル・文化・メディア・スポーツ省(DCMS)から委託を受けたIpsos MORIが実施した。Ipsos MORIは2018年11月12日〜2019年1月9日に英国在住の16歳以上の不特定多数を対象に電話インタビューを行い、1350人から回答を得た。回答者の属性は英国の年齢階層別人口と合致するよう統計的に処理されている。
Copyright © ITmedia, Inc. All Rights Reserved.