Microsoft、流出済みのパスワードを使用する4400万以上の同社ユーザーを発見：パスワードリスト攻撃に弱い

Microsoftは、パスワードを再利用することで被る「パスワードリスト攻撃」について、自社のサービスを利用しているユーザーを対象に調査した。その結果、4400万件ものアカウントがパスワードを再利用していたことが分かった。毎年同社が発表する「Microsoft Security Intelligence Report」を補完する内容だ。

[＠IT]

　Microsoftは2019年12月、パスワードの再利用について最新調査データを紹介し、パスワードリスト攻撃の危険について注意喚起を行った。年次セキュリティレポート「Microsoft Security Intelligence Report」を補完する対話型Webサイトを通じて発表したもの。

　Microsoft Security Intelligence Reportの最新版は、2018年1〜12月を対象期間とする「VOLUME 24」。Microsoftは同サイトで、2880万人のユーザーと6150万件のパスワードを用いたバージニア工科大学の研究チームによる2018年の調査を引用した。

　それによると、52％ものユーザーがパスワードの再利用（一部を変更した上での再利用を含む）をよく行っている。

　これはかなり危険だ。なぜなら一部のみを変更したパスワードの30％と、再利用された全てのパスワード（6150万件中の1600万件）を10回以内の推測で破ることができたからだ。

　Microsoftは、こうしたパスワードの再利用（一部変更を含む）を行うと、パスワードリスト攻撃で突破される恐れがあると警告する。パスワードリスト攻撃は侵害リプレイ（「資格情報スタッフィング」とも呼ばれる）の一種であり、次のような手法を採ったもの。他のWebサイトを侵害して得たり、インターネット経由で入手したりした「ユーザー名とパスワード」のペアを使って攻撃を試みる。総当たり攻撃（ブルートフォースアタック）などと比較して攻撃の成功確率が格段に高い。

Microsoftのユーザーはパスワードをどの程度使い回しているのか

　MicrosoftのID脅威調査チームでは、法執行機関や公共データベースを含む多くのソースに蓄積されたさまざまな侵害事例で被害に遭った数十億件の資格情報（ユーザー名とパスワードの組み合わせ）がどの程度再利用されているかを調べた。

　同チームが2019年1〜3月に、過去に流出した30億件以上の資格情報と、Microsoftシステムで使われている資格情報を照合したところ、4400万件以上のAzure Active DirectoryとMicrosoftのサービスアカウントで、流出した資格情報と同じ組み合わせが使われていることが分かった。流出したパスワードをユーザーがそのまま別のサイトでも使い続けていることになる

　Microsoftはこれらのアカウントを対象に、パスワードのリセットが強制するとしている（これに伴って消費者が行うべき操作は特にない）。企業でこれらのアカウントが使われている場合については、該当するアカウントのユーザーのリスクが上昇していることをMicrosoftが管理者に通知し、その資格情報のリセットの強制を促す。

パスワードの再利用にどう対応すべきなのか

　パスワードを再利用するユーザーは少なくない。そこで何らかの強力な資格情報を使ってパスワードを補完することが重要だとMicrosoftは述べている。例えばセキュリティを大幅に高めることが可能な手法として多要素認証を挙げる。同社の調査では、パスワードリスト攻撃の99.9％は、多要素認証を有効にすることで回避できるという。

　加えて、過去に侵害された資格情報を使っているユーザーを高リスクと認定した上で、管理者に対してパスワードリセットの強制を勧める通知を行うことも、顧客をパスワードリスト攻撃から守るソリューションとして提供していくとしている。