JPAC 一般社団法人日本プライバシー認証機構ブログ

日本プライバシー認証機構 ブログ

消費者と事業者の信頼の中心に

  • JPACは「STOP! パスワード使い回し!キャンペーン2019」に賛同しています

    2019年10月18日

    日本プライバシー認証機構は、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が推進している「STOP! パスワード使い回し!キャンペーン2019」に賛同しています。

     

     

    JPCERTコーディネーションセンター(JPCERT/CC)は、インターネットを介して発生する侵入やサービス妨害等のセキュリティインシデントについて、日本国内において、報告受付、対応支援、発生状況把握、手口分析、再発防止のための対策の検討や助言などを技術的な立場から行う機関です。

     

    パスワードの使い回しは大変危険です。ひとつのサイトからパスワードが盗み出されてしまうと、それが別のサイトへの攻撃に使われてしまいます。

     

    クレジットカード情報の登録を必要としないサイトや、登録情報が少ないサイトの中には、比較的ハッキングされやすいサイトも存在します。攻撃者はそういったサイトを狙って攻撃をしかけます。そして盗み出されたパスワードは、ダークウェブ上で販売され、ショッピングサイト等へのパスワードリスト攻撃に利用されてしまうのです。

     

    ダークウェブとは?

     

    通常私達が使用する検索エンジンでは見つけることができず、また、通常のWEBブラウザでも閲覧することができないウェブサイトの一種です。

     

    ウェブには私達が見ることができない膨大な空間があり、そこに存在する情報の量は、一説によると私達が普段アクセス可能な量の400~500倍もあると言われています。

     

    そのような膨大な空間の最深部に当る部分が、ダークウェブと呼ばれています。ダークウェブは非常に匿名性が高い空間のため、犯罪者にとって非常に好都合です。

     

    ※ダークウェブについてより詳しく知りたい方はこちらをご覧ください(NortonBlog内記事)

     

    ダークウェブ上で販売されたパスワードが、パスワードリスト攻撃に利用される

     

    ダークウェブ上には、ハッキング等の不正な手段で入手したメールアドレスやパスワードを販売し、金銭を得ようとする人がいます。

     

    海外の事例では、2200ドル相当の仮想通貨で1億1700万人分のID・パスワードを販売しようとしていたケースもあるようです。日本円にすると1件あたりわずか0.002円という価格でした。こうして、盗み出されたパスワードは、多数の攻撃者が容易に入手可能な状態になってしまいます。

     

    メールアドレスやパスワードを購入した攻撃者は、そのリストを使って、様々なサイトへの不正ログインを試みます。この手法はパスワードリスト攻撃と呼ばれており、攻撃者の間では一般的な手法となっています。

     

    パスワードの使い回しをしていると、このパスワードリスト攻撃によって、不正ログインされる可能性が非常に高くなります。その結果、ショッピングサイトで勝手に買い物をされたり、貯めていたポイントを使われてしまったりします。

     

    こうした被害を防ぐために、パスワードを使いまわしせず、使い分けることが必要となるのです。

     

    JPCERTコーディネーションセンターのキャンペーンページにて、情報漏洩のしくみや安全なパスワードの設定方法が分かりやすく解説されています。ぜひご覧ください。

     

    ホワイトペーパー「日本人のためのパスワード2.0」もぜひ参考になさってください。

     

    しかし、これまでパスワードを使い回ししていた方にとっては、複数のパスワードを使い分けることは大変な手間に感じられることかと思います。

     

    そんな方々に向けて、当機構では、覆面セキュリティリサーチャー キタきつね氏が提唱する、パスワードの新たな管理方法「パスワード2.0」を、ホワイトペーパーとしてリリースしております。大変ご好評をいただいており、これまでにも非常に多くの皆さまに活用いただいております。

     

    覚えやすく、簡単に設定でき、かつ強力なパスワードとはどのようなものなのか?セキュリティリサーチャーの知見を活用した、読了後すぐに使えるテクニックをご紹介しておりますので、是非ご活用ください。

     

    ホワイトペーパーダウンロードページはこちら

  • Information
    JPAC

    一般社団法人日本プライバシー認証機構(JPAC)

    個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。

    Search