Microsoft、流出済みのパスワードを使用する4400万以上の同社ユーザーを発見：パスワードリスト攻撃に弱い

Microsoftは、パスワードを再利用することで被る「パスワードリスト攻撃」について、自社のサービスを利用しているユーザーを対象に調査した。その結果、4400万件ものアカウントがパスワードを再利用していたことが分かった。毎年同社が発表する「Microsoft Security Intelligence Report」を補完する内容だ。

» 2019年12月11日 19時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Microsoftは2019年12月、パスワードの再利用について最新調査データを紹介し、パスワードリスト攻撃の危険について注意喚起を行った。年次セキュリティレポート「Microsoft Security Intelligence Report」を補完する対話型Webサイトを通じて発表したもの。

　Microsoft Security Intelligence Reportの最新版は、2018年1～12月を対象期間とする「VOLUME 24」。Microsoftは同サイトで、2880万人のユーザーと6150万件のパスワードを用いたバージニア工科大学の研究チームによる2018年の調査を引用した。

　それによると、52％ものユーザーがパスワードの再利用（一部を変更した上での再利用を含む）をよく行っている。

　これはかなり危険だ。なぜなら一部のみを変更したパスワードの30％と、再利用された全てのパスワード（6150万件中の1600万件）を10回以内の推測で破ることができたからだ。

　Microsoftは、こうしたパスワードの再利用（一部変更を含む）を行うと、パスワードリスト攻撃で突破される恐れがあると警告する。パスワードリスト攻撃は侵害リプレイ（「資格情報スタッフィング」とも呼ばれる）の一種であり、次のような手法を採ったもの。他のWebサイトを侵害して得たり、インターネット経由で入手したりした「ユーザー名とパスワード」のペアを使って攻撃を試みる。総当たり攻撃（ブルートフォースアタック）などと比較して攻撃の成功確率が格段に高い。

Microsoftのユーザーはパスワードをどの程度使い回しているのか

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

セキュリティ向上に効果的なパスワードレス認証の導入を検討する時期が来た
パスワードを使わないユーザー認証が、ようやく現実的な手段として考えられるようになってきた。Gartnerは2022年までに、グローバル大企業の60％と中堅企業の90％が、ユースケース全体の50％以上で、パスワードレス認証を実装するようになると予想している。
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「＠ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。
相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁
この1カ月あまりの間に、国内のポータルサイトやオンラインショッピングサイトへの不正アクセスを狙った事件が複数発生している。被害を受けたサイトのいくつかは、その手口を一部明らかにし、ユーザーに向けてあらためて「パスワードの使い回し」を避けるよう呼び掛けている。