パスワードは変更しない方が良いのか?:セキュリティクラスタ まとめのまとめ 2018年3月版(3/3 ページ)
2018年3月のセキュリティクラスタは「コインチェック」「IPA」「パスワード」に話題が集まりました。コインチェックから流出した仮想通貨NEM(通貨単位XEM)が、ついに全て売られてしまいました。IPAが注目を集めたのはユーザーの情報を漏らしてしまったためです。さて長年、定期的に変更するよう推奨されてきたパスワードはどうなったのでしょうか。
パスワードの定期変更、ついに総務省も勧めなくなる
パスワードを定期的に変更することに意味はあるのかという問題が、長い間、何度も話題になってきました。「パスワード『頻繁に変更はNG』総務省が方針転換」という記事が3月27日に日本経済新聞に掲載されたことから、再びたくさんの人が定期変更について意見をツイートしました。
新聞記事によればパスワードを定期的に変更していると、類推しやすいパスワードを使い回す傾向があるといいます。そのため、定期変更するよりは複雑なパスワードを設定した方が良いということです。
「方針転換に困惑する声も少なくない」と記事にはありましたが、TLで大勢を占めている意見と同じだということもあり、ようやく面倒なパスワードの定期変更がなくなるかもしれないと、歓迎する意見がほとんどでした。
実は総務省のサイトではパスワードの定期変更は不要だという内容を2017年から掲載していたり、NIST(米国国立標準技術研究所)のガイドラインでもパスワードの定期的な変更を要求すべきではないとしたりしていました。徐々にパスワードの定期変更を要求しないガイドラインが定められるようになっています。今回たくさんの人に知られたことで、パスワードの定期変更という習慣がなくなる日が近いのかもしれません。
とはいえ懸念の声がないわけではありません。弱く短いパスワードしか設定できないWebサービスがいまだに多く存在しているというツイートがありました。職場のLANなどでIDが共通の環境では利用者が辞めたときにパスワードを変更した方が良いというツイートもありました。オフラインでクラックされる環境では、内閣サイバーセキュリティセンター(NISC)おすすめのやり方ではパスワードが弱いので、長いパスワードの作り方をツイートする人もいました。
この他にも3月のセキュリティクラスタは次のような話題が注目されていました。4月はどのようなことが起きるのでしょうね。
- マイネットが不正アクセスを受けて長期間ゲームできない状態に。不正アクセスを受けてサーバの特権IDが流出
- 小学三年生がウイルスを公開して児童相談所に通告される
- memcachedを使ったDDoSが大流行
- Drupalの匿名ユーザーに外部から勝手に操作される脆弱(ぜいじゃく)性あり
- SBIホールディングスのTwitterアカウントがレイバンサングラスを売っていた
- ウイルス保管容疑で逮捕の会社員、京都地検が不起訴(関連記事)
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.