1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. パスワードのセキュリティを習慣化する

Info.

お知らせ

海外ブログ

パスワードのセキュリティを習慣化する

パスワードのセキュリティを習慣化する のページ写真 1

2023年5月4日、Christine Barry

2023年5月4日は5月の第1木曜日、「世界パスワードの日」だそうです。ワクワクしているフリもできませんよね。

パスワードにはイライラします。 今やっていることを邪魔されるからです。どれも違っていて複雑で、推測しにくいものでなくてはならず、しかも覚えにくい。パスワードは面倒なもの、そう感じているのは私だけではないだろう。「アクティブ」なインターネットユーザーの42%以上が、パスワードのセキュリティはあまりに面倒からと「オプトアウト」しています。複数のサイトで同じパスワードを使い、しかも多くの場合、簡単に解読できる弱いパスワードを使っているのです。気持ちはよくわかります。でも、そのような行動では、この世界の危険には太刀打ちできません。

悪意あるボットと自動化された攻撃

パスワードのセキュリティは、自動化された攻撃を受けるたびに重要性を増しています。 インターネットトラフィックに関するバラクーダの最新の調査によると、少なくとも40%は「悪意あるボット」によることが明らかになっています。 これは、脅威アクターが脆弱なWebアプリケーション、ファイアウォール、およびその他のインターネットにアクセス可能なデバイスを探し出すために使用する自動スクリプトです。これらのボットの多くは、電子商取引アプリケーションやログインポータルに着目し、ブルートフォースやクレデンシャルスタッフィングなどのパスワード攻撃を仕掛けてきます。 ブルートフォース攻撃では、体系的な「トライアルアンドエラー」手法を使い、考えられるすべてのパスワードとパスフレーズをテストします。「123456」や「abc123」のような最も一般的なパスワードを使用すると、ブルートフォース攻撃は1秒未満でそれを突破します。クレデンシャルスタッフィング攻撃は少し違って、ボットがほかの攻撃で盗んだクレデンシャルのセットをローテーションしています。攻撃対象のサイトでユーザーが別のサイトでも使っているパスワードを使い回しているなら、ボットはそのユーザーの有効なログイン情報を以前データ侵害した際に入手している可能性があります。そうなるとボットは、わずかな時間さえあればユーザーになりすましてログインできるようになります。

機会を狙ったフィッシング

フィッシング攻撃もまた、パスワードセキュリティの重要性をあらためて強調する攻撃です。 フィッシングメール、Webサイト、そしてメッセージは、非常にうまく機能するため、企業や個人にとって最も脅威となるものの1つです。フィッシング攻撃は、ユーザーをだまして認証情報やその他の情報を提供させようとするもので、システムからデータを盗むように設計されたマルウェアが含まれていることもあります。このような攻撃は、インフラ機密研究国家機密に対する攻撃の出発点となることがよくあります。受信トレイのセキュリティやユーザの認識などのフィッシング対策は、このような攻撃に対する最良の防御策であり、これらを導入していない場合は、バラクーダがこれを支援します。 こうした対策を取ったとしても、フィッシング攻撃は有効な攻撃であり、その攻撃力はますます向上しています。 爆発を止めることはできなくても、それをできるだけ小さく抑えたいものです。

ベストプラクティス

ずさんなパスワード管理の習慣は、ビジネスメールの漏えい、アカウントの乗っ取り、ランサムウェア、その他の有害なサイバー攻撃につながる可能性があります。ログイン情報を保護することは、たいていの場合、自分で直接コントロールできます。 たとえば、以下が考えられるでしょう。

  • 固有のパスワードをアカウントごとに使用する。(42% !!!)
  • パスワードマネージャーを使用してパスワードを管理する。強力なマスターパスワードを備えたパスワードマネージャーは、すべてのアカウントに固有のパスワードを管理するための安全な方法です。これらのアプリケーションを使えば、複雑なパスワードをその場で簡単に作成できるため、万が一パスワードが漏えいした場合でも、すぐにパスワードを変更することができます。LastPassのインシデントのようなことが心配なら、KeePassのようなオフラインのパスワードマネージャーを調べてみるのもよいでしょう。
  • 情報漏えいを監視する。パスワード管理ソフトの中には、これを監視し、情報漏えいが見つかったら警告してくれるものもありますが、これは有料の機能かもしれません。また、Webサイトの「have I been pwned」を利用して、あなたの電子メールパスワードの侵害データベースをチェックすることもできます。
  • 一般的なパスワードを使用しない。たとえば「qwerty」や「password」などです。こうした最も一般的なパスワードは、前述したパスワードと同様、ブルートフォース攻撃で解読するのに1秒とかかりません。
  • 個人情報をパスワードに使わない。名前、住所、誕生日など、あなたを連想させるような情報は、誰かに推測されやすくなります。複雑なパスワードやパスフレーズを使用するのがよいでしょう。
  • パスワードを他人と共有しない。文書、カレンダー、電子メールなどの共有は、パスワードやアカウントアクセスを共有しなくても安全に行えます。誰かがあなたの認証情報でログインできるようにするのではなく、適切なコラボレーションワークフローを構成しましょう。ほとんどの SaaS の生産性アプリケーションは、コラボレーションツールを備えています。

 

ここに多要素認証を挙げていないのは、そのオプションが常に利用できるわけではないからです。しかし可能な限り、多要素認証を利用しましょう。

パスワードセキュリティを習慣にする

「世界パスワードの日」を祝う必要はありませんが、パスワードのセキュリティに改めて取り組むことでこの日を過ごしましょう。自分のアカウントや認証情報が重複していないか、漏えいしていないか、弱いパスワードがないか、見直してみてください。友人や家族、同僚にも同じことをするよう、注意を促してください。さて、来年5月の最初の木曜日までに、42%より良い結果を出せるでしょうか。

 

原文はこちら
Make password security a habit
May. 4, 2023 Christine Barry
https://blog.barracuda.com/2023/05/04/make-password-security-a-habit/

関連記事