サービス事業者の14％がパスワードを平文管理　フィッシング対策協議会：パスワード難読化を標準に

フィッシング対策協議会の認証方法調査・推進ワーキンググループが発表したインターネットサービス事業者が採用している認証方法についての調査結果によると、IDとパスワードのみの認証方法が大多数で、パスワードを平文で管理している事業者が14％あった。

» 2019年05月17日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　フィッシング対策協議会の認証方法調査・推進ワーキンググループは2019年5月16日、インターネットサービス事業者が採用している認証方法についての調査結果の一部を速報として発表した。

　個人の認証方法については、多くがIDとパスワードの組み合わせで、多要素認証やリスクベース認証を採用している事業者は少なかった。具体的には「IDとパスワード」と回答した割合は77％、二要素認証を含む「多要素認証」は20％、「リスクベース認証」は1％だった（図1）。

図1　個人認証をどのように行っているか（出典：フィッシング対策協議会）

　この結果について認証方法調査・推進ワーキンググループは「サービス事業者から漏えいしたパスワードリストを利用する『リスト型攻撃』によって不正アクセス被害が顕在化して以来、パスワード以外の要素を認証に追加適用するサービスが増加した。認証要素の追加は安全性の向上につながる一方、認証手順が増えるため利用者の利便性は低下する。そのため、多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性や利便性のバランスを考慮して、サービスごとに適切な認証環境を構築する必要がある」としている。

内外のリスクに有効なパスワード難読化処理

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

公開鍵を「公開しない」ってどういうこと？
2019年4月のセキュリティクラスタでは、「『ラブライブ！』のドメインハイジャック」「アプリケーションのデータを書き換えて利用制限時間を引き延ばしたため、電磁的記録不正作出・同供用で書類送検された事件」「パスポートの署名検証に使う公開鍵の開示を求めたものの、開示されなかった事例」が話題となりました。
英国のサイバーセキュリティと世界の流出パスワードの現状、英国NCSCが分析
英国の国家サイバーセキュリティセンター（NCSC）は、初の「UK Cyber Survey」の結果を発表した。世界で発生したサイバー侵害において、第三者が利用したパスワード10万種類についての分析結果も併せて発表した。
仮想通貨の発掘は悪なのか？ VS. 平文パスワード保存は是なのか？
2019年1月、年明けのTwitterセキュリティクラスタでは「ZOZOの前澤社長のツイート」や「Coinhive裁判」の他、「宅ふぁいる便」の情報漏えいが大きな話題となりました。