4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ

　独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）は10月2日、2008年9月および第3四半期のコンピュータウイルス、不正アクセスの届出状況をまとめ、発表した。9月に寄せられた相談や届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウントを不正に利用されたという被害が複数あったという。

　相談の中には、数字だけの組み合わせや簡単な英単語をパスワードに設定していたために容易に見破られ、アカウントを不正に利用されたと推測されるケースがあった。オークションサイトなどのサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があるため、パスワードの作成や管理には十分な注意が必要としている。

　オークションなどのサービスを提供するウェブサイトでは、パスワードを作成する際に「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースをよく見かける。この方法は破られにくいパスワードを作成するポイントとなる。パスワード破りに使用される「パスワード解析ツール」を使うと4桁の英字のみのパスワードは約3秒で判明できるが、大小の英字と数字の組み合わせでは約50年かかるとのこと。

　このため、パスワードには文字の種類をできるだけ多く使い、原則8桁以上を設定するようIPA/ISECは呼びかけている。また、パスワードを記録しておく場合にはIDとパスワードを別々に保管し、月1回など定期的に変更するべきとした。インターネットカフェなど不特定多数が利用するパソコンには入力しないといったこともポイントという。

　2008年9月のコンピュータウイルス、不正アクセスの届出状況をみると、ウイルスの検出数は約22万個と、8月の約19万個から15.1％増加した。また、9月の届出件数は1875件となり、8月の1811件から3.5％増加している。検出数の1位は「W32/Netsky」で約19万個、2位は「W32/Autorun」で約1万2000個、3位は「W32/Virut」で約9000個であった。

　不正アクセスの届出および相談の受付状況は、届出件数が14件、相談件数が38件であった。このうち何らかの被害に遭ったものは、それぞれ12件、20件となっている。被害届出の内訳は、侵入6件、DoS攻撃が1件、アドレス詐称が1件、それ以外が4件。また、9月の相談総件数は2154件であり、過去最多だった前月をさらに大幅に上回った。このうちワンクリック不正請求に関する相談が651件（8月は545件）と4カ月連続で過去最悪記録を更新している。

　2008年第3四半期（7月〜9月）でみると、ウイルスの届出件数は5134件。不正アクセスは届出件数が48件で、前四半期の約1.5倍となった。被害があった件数は同1.6倍となっている。

　IPAに届けられた48件のうち、実際に被害があった届出は40件と全体の83.3％を占めた。これらの原因の内訳は、IDやパスワード管理不備が11件、古いバージョンの使用やパッチ未導入が2件、設定不備が2件などとなっている。なお、届出者の分類は教育、個人、法人でほぼ同率であった。

関連記事

• IPA、組織向けの相談窓口「不審メール110番」を設置 - 2008/10/02 11:39:01
• 「無線LAN利用者のセキュリティ意識の低さが目立つ」--IPA調査 - 2008/10/02 11:55:01
• IPA、急増するワンクリック不正請求に注意喚起 - 2008/09/16 20:58:01
• プラグインの脆弱性対策も忘れずに--IPAが月例レポート - 2008/08/07 20:07:01
• 脆弱性関連情報の届出が1日あたり2.38件に増加--IPA調べ - 2008/07/17 11:52:01
• iPod touchのSafariに脆弱性、証明書が不正に受け入れられる可能性 - 2008/07/14 16:25:01
• ウイルスの届け出件数は3年前の4割にまで減少--IPA調べ - 2008/07/08 13:16:01
• 深刻度の高い脆弱性が増加中--IPAがJVN iPediaの登録状況を公開 - 2008/07/10 22:07:01
• ワンクリック不正請求、SQLインジェクション攻撃に注意--IPAの5月レポート - 2008/06/04 23:54:01
• X.Org Foundation製のXサーバに、任意のコードを実行される脆弱性 - 2008/06/12 15:30:01