Select regional site

【Tripwire 】ホームプレスリリースTripwire メディアアラート:セキュリティのエキスパートが伝授するパスワード強化のヒント

Tripwire メディアアラート:セキュリティのエキスパートが伝授するパスワード強化のヒント

(本資料は、2016年6⽉15日に⽶Tripwire, Inc.が発表した情報の抄訳です)

米オレゴン州ポートランド — 2016 年 6 月 15 日 — 2016 年 5月、LinkedIn、MySpace、Tumblr などの有名サイトの数百万件にわたるユーザアカウントが 闇市場で売り出されていることを、セキュリティ調査員たちが発見しました。 被害者の個人データは、複数の大規模なデータ侵害インシデント(多くは 2011年から 2013年の間に発生)の際に流出したものでした。 この侵害により、合計で 6 億 4,000 万件以上のパスワードが流出し、FBI は、サイバー犯罪者らがこの侵害により得た情報を悪用して脅迫や身代金の要求を行っていると警告を発しました。

FBI は次のように説明しています。「犯人は、身代金を支払わなければ、あなたの名前、電話番号、住所、クレジットカード情報などの個人情報を、ソーシャルメディアの知り合いや家族、友達に公開すると脅します。また、この身代金は取引が匿名化される仮想通貨の Bitcoin で支払うように指示されます。」

Tripwire のシニア セキュリティ リサーチ エンジニアの トラヴィス・スミス は次のようにコメントしています。「過去数年間における侵害の増加を見ると、ユーザのパスワードがハッカーに盗まれている可能性が高いと感じます。あなたのアカウントが盗まれているのに、流出元の Web サイトまたはサービスが侵害に気が付いていないということは大いに考えられます。」

Tripwire のセキュリティ調査担当 クレイグ・ヤング は、次のようにコメントしています。「システムがいくら安全であっても、パスワードが脆弱だと侵入のスキを与えてしまいます。複数のシステムでのパスワードの使い回しや、パスワード辞書に登録されているような簡単すぎるパスワードは、大規模なアカウント乗っ取りの主な原因となります。

Microsoft をはじめとする主要ベンダーは、単純なパスワードの使用を禁止する措置を講じています。また、昨今のデータ侵害に端を発した攻撃から、ユーザはパスワードを見直すべきであることを痛感しています。Tripwire のセキュリティエキスパートは、パスワードの強度を高めるためのアドバイスを以下のように提示しています。

  • 定期的にパスワードを変更する -最近のデータ侵害によって盗まれたパスワード情報は、闇ネットワーク上で売買されていますが、それらは 3 年以上前のものです。古いパスワードを使い続けていれば、脅威の餌食になりかねません。
  • パスワードの使用をやめてパスフレーズにする -複数の単語から成るパスフレーズは、単語 1 つだけのパスワードよりは辞書攻撃に引っかかりにくくなります。 安全なパスフレーズを作るには、手始めに歌などから好きな一節を引用し、最後に空白やピリオド、カンマなどを使用してもよいでしょう。
  • 記号と置き換えてみる -パスワードの文字の「o」を「0」、「e」を「3」、「a」を「@」のように置き換えるとより強力になります。
  • Web サイトやサービスごとに異なるパスワードを使う -攻撃者が 1 つの Web サイトからパスワードを盗むことに成功しても、そのパスワードを使って別のサイトにアクセスすることはできなくなります。

ヤングはさらにこうコメントしています。「Web サイトごとに異なるパスワードを作るのは難しそうだと思うかもしれませんが、そのサイトのサービスから連想することをパスフレーズに付け加えればいいのです。たとえば、あるオンライン書店のパスワードを作るなら、"It was the best of times" という本の一節を"It w@s th3 b3st 0f tim3s"のように変換します。さらに強力な他にはないパスフレーズにするために、"books" を追加して "It w@s th3 b3st 0f tim3s b00ks" とします。」

一意的なパスワードだけでなく、二要素認証も活用できます。Tripwire のITリスク/セキュリティ戦略担当ディレクタの ティム・アーリンは、次のように説明しています。「複数の認証要素を使えば、攻撃者はパスワードを破るだけではアクセスできなくなります。一般的な二要素認証では、パスワードに加えてモバイルデバイスに送信されたワンタイムパスコードが使用されます。他の要素としては、指紋や網膜スキャン、物理的なカードがあります。二要素認証に対応する Web サイトやオンラインサイトは増えています。可能であればこれらを利用するべきです。

その他の参考資料:
BLOG:A Guide on 5 Common LinkedIn Scams
BLOG:How Can we Remember all Those Passwords?

トリップワイヤについて

Tripwireは企業、サービスプロバイダ、政府機関を対象とするエンドポイント検知/対応、セキュリティ、コンプライアンス、IT運用ソリュー ショ ンのリーディングプロバイダです。Tripwireのソリューションは、信頼性の高い資産の可視化機能および詳細なエンドポイントインテリジェンスをベー スに、ビジネス・コンテキストを組み合わせ、これらソリューションが一体となってセキュリティ/IT業務を統合、自動化しています。 Tripwireのエンタープライズ・クラス・ソリューションには、コンフィグレーション/ポリシー管理、ファイル整合性監視、脆弱性管理、ログ管理、レ ポート/分析が含まれています。詳細についてはtripwire.com 米Tripwire, Inc.)、tripwire.co.jp (日本)を参照ください。また、セキュリティ関連のニュース、トレンド、および知見についてはtripwire.com/blog(米Tripwire, Inc.)、https://blog.tripwire.co.jp/blog (日本)、Twitterで@TripwireInc(米Tripwire, Inc.)、@TripwireJPN(日本)をご覧ください。

報道関係者からのお問い合わせ

名称 トリップワイヤ・ジャパン株式会社
担当 マーケティング部
電話番号 03-5206-8610
メールアドレス TWMktgJapan@tripwire.com
ご購入または
技術的なご相談
お問い合わせ
販売パートナー
購入後の技術的なお問い合わせは販売代理店のサポート窓口にご連絡ください。

変更検知のデファクトスタンダードTripwire

Tripwire社の製品は、現在Fortune 500社の50%以上を含む、9,000社以上のお客様にご利用いただいております。
脆弱性管理ソリューションも新たに追加し、お客様のセキュリティ・リスク管理、コンプライアンスの実現をサポートします。