このブログは、「ハッキング被害が後を絶ちません」という内容が多いのですが、最近本当に多いようです。毎週のようにどこかで被害報告があります。特に他のサイトで流出したアカウント情報を用いた「パスワードリスト攻撃」と思われる攻撃手法が多く用いられ、実際に被害も発生しているようです。
2013/3/26 「最近ハッキングニュースがとても多い」
2013/4/3 【goo】不正ログイン被害のご報告とパスワード再設定のお願い
2013/4/4 【NTT東】フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて
2013/4/5 【Tサイト】不正ログインによるなりすまし被害のご報告およびパスワード変更のお願い
2013/4/9 【eBookJapan】不正ログイン被害のご報告とパスワード再設定のお願い
2013/4/11 フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結
2013/4/11 「gooID」不正ログイン攻撃は総当たりでなく使い回し ID/パスワード試行、全 ID をロック
2013/4/17 【JR東】My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い
外部で流出した個人情報を悪用した不正ログインの予防では、パスワードを定期的に変更するのがオーソドックスなセキュリティ対策ですが、現在でも十分有効です。ただし、多数のサービスを利用している場合も多いので、それぞれのサービスに対して自主的に変更してまわるのは面倒ですよね。
これらを踏まえてサイト運営者には以下のような少し踏み込んだセキュリティ対策をお勧めします。
- パスワードを定期的かつ強制的に変更する
もはやユーザ責任によってパスワードを自主的に変更してくれる事を期待するのは止めたほうがいいと思います。もちろん事前告知とパスワード通知方法は十分に検討する必要があります。 - パスワード変更機能をあえて削除する
ログイン認証機能を持つサイトでは「パスワードを定期的に変えてください」とアナウンスされることが多いのですが、パスワード変更機能はセキュリティ保護というよりは、自分が覚えやすいものや他のサイトで使用しているのと同じものに変更してしまうリスクの方が大きいと思います。 - ログインIDにメールアドレスや任意IDを使用しない
これまで多くのWebサービスがログインIDをメールアドレスや任意の文字列にしてきた理由は分かります。メールならパスワードを忘れた際にリマインドを送るのに便利だし、ユーザの利便性も高まります。しかし、これらは他のサイトと共通にしていることが多いので、他のサイトで個人情報が漏洩した場合に不正利用されてしまう可能性が高いのです。したがって、サービス独自かつ容易に推測・生成できない仕様のログインIDを用いることをお勧めします。
参考「セキュアなログインIDとは」 - ログインIDとパスワード以外の認証項目を追加する
例えば会員データベースに生年月日や郵便番号が確実に入力されているとすれば、この情報も照合することで不正ログインのリスクを軽減できます。 - ログイン認証プログラムへの対策
クラッカーが不正ログインを試みる際は、手元のリストやパターンリストを用い、プログラムを使って機械的に大量の不正認証を試みます。これを防ぐためには同一アクセス元からのログイン認証に対して単位時間当たりの制限を設けたり、ユーザー本人が確実にブラウザで操作を行っていることを検証できるロジック※の組み込みが考えられます。 - パスワードを暗号化保存する
これは自社サイトのセキュリティ対策と言うよりは、万が一自社サイトから個人情報が流出した際に、他のサイトで不正利用されてしまう二次被害の予防となります。
参考「会員サイトのパスワード保存を暗号化する改修手順」
しかしながら、ほとんどのセキュリティ対策はユーザビリティを犠牲にすることになります。ログイン情報が変更になっただけで離れて行ってしまうユーザも少なくないでしょう。アナウンスやサポートの手間もかかります。したがって、不正アクセスがあった際の最大のリスク(コスト)とWebサービスのクオリティ維持コストを鑑みたマクロ視点でのビジネス判断が必要となります。
※ただし、昨今話題となっているPC乗っ取りによる成りすましのログインが行われた場合、サイト側で不正を判別する良いアイデアはなかなか思いつきません。最善の策はUSBトークンや電子証明書の物理デバイスによる認証を組み合わせることですが、コストと利便性の面で一般的に普及するにはまだ難しいでしょう。
コメント