2018年3月26日報道 総務省は、これまでの方針を１８０°転換し、ネット利用時のパスワードは定期的に変更せず複雑なパスワードを使い続ける方が安全だとして注意喚起を始めた

2018年3月26日17時25分に日本経済新聞電子版から、下記趣旨の記事がネット配信されていた。

 

定期的に変えるのはかえって危険―――。

総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。

 

「推測しやすい文字列になって、不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。

方針転換に困惑する声も少なくない。

 

「定期的にパスワードを変更しましょう」。

３月１日、総務省の「国民のための情報セキュリティサイト」から、こんな記述が消えた。

２０１７年秋に「定期変更は不要」との文言を追加したことを受け、矛盾を解消したという。

 

パスワードは第三者による「なりすまし」を防ぎ、ネット上の個人情報や財産を守る。

ハッカーなどは他人のパスワードを把握しようと、文字の組み合わせを全て試す「総当たり攻撃」や、よく使われる語句を手当たり次第に試す「辞書攻撃」などを仕掛けてくる。

 

パスワードの定期変更は、不正を防ぐ有効な手段とされてきた。

しかし、サイバー攻撃が盛んになる中、米国などでは１６年ごろから「定期変更を要求しない方がいい」という意見が高まってきた。

 

日本でも同年１２月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター（ＮＩＳＣ）が「必要なし」とする見解を示し、これを受けて総務省もサイトを変更した。

 

ＩＴ会社ソフトバンク・テクノロジー（東京）の辻氏によると、頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる。

例えば「Yamada201803」といった名字と年月、誕生日などを組み合わせ、末尾の数字だけを毎月「01」「02」……と変更する方法だ。

 

さらに、多数の機器やサービスでの定期変更が面倒になり、同じパスワードを使い回してしまうことで、芋づる式に個人情報などを盗まれるリスクも高まる。

 

政府の方針は省庁間でも十分に浸透していない。

経産省が１６年３月に改訂した情報セキュリティ管理基準には「パスワードは定期的に及び必要に応じて変更させるようにする」と明記。

同省の担当者は、「省庁ごとに基準が異なると混乱を招きかねないため、変更も含めて検討する」という。

 

東京都内のある機械整備会社は、社員に数カ月ごとにパスワードを変更するよう求めている。

担当者は、「定期変更が不要とは知らなかった。これまでの呼びかけは何だったのか」とがくぜん。「早めにルールを見直した方がいいのだろうか……」と漏らす。

 

安全なパスワードを設定するには、どのような点に気をつければいいか。

ＮＩＳＣは「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」としている。

規則性のある文字列や単語は使わず、不規則で複雑なものが望ましい。

 

また、盗まれた端末からログインされるのを防ぐため、ネット閲覧ソフトに自動でパスワードを記憶させる機能も使わない方がよいという。

 

変更のタイミングについては「パスワードが破られ、サービスが不正利用されたことが判明した時。その場合は速やかにパスワードを変更した上で、破られた原因についても特定してほしい」としている。

 

出典

『パスワード「頻繁に変更はＮＧ」　総務省が方針転換』

https://www.nikkei.com/article/DGXMZO28578370W8A320C1CC1000/?n_cid=NMAIL007　

 

 

少し古いが、2017年10月18日付で日経ＴＥＣＨからも、同趣旨の記事がネット配信されていた。

 

２０１７年６月に全面改定が行われた米国標準技術研究所（ＮＩＳＴ）が発行するガイドライン「ＳＰ８００－６３」の中には、「Ｗｅｂサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。

複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。

 

これは、研究成果からも判明している。

 

ＯｐｅｎＩＤファウンデーション・ジャパンでＳＰ８００－６３の翻訳を手掛けるメンバーの１人である、ＮＲＩセキュアテクノロジーズの勝原サイバーセキュリティ技術開発部セキュリティコンサルタントは、定期変更要求の非推奨につながった研究成果を紹介する。

 

米ノースカロライナ大学は、過去に大学に在籍していた学生とスタッフの１万のアカウントが使っていた、５万１１４１個のパスワードを解析した。

 

同大学は、パスワードは３カ月で変更が要求されるポリシーで運用していた。

結果として分かったのは、利用者はパスワード変更時に、推測されやすい以下の「変換」を行っていることだ。

・数字を増やしていく（例：１を２にする）
・類似した文字を置き換える（例：Ｓを＄に変換）
・記号を追加／削除（例：末尾につけた！！！を！！にする）
・数字や記号の位置を移動する（例：末尾の数字を先頭に移動
  する）

 

過去のパスワードが分かっている場合、利用者が次に選ぶパスワードの１７％は５回以内の試行で推測可能で、パスワードの４１％は３秒以内に推測可能だった。

研究を解説した米商務省のローリー・クレイナー チーフテクノロジストのブログ記事

 

パスワードの定期変更の狙いは、「不正ログインをされているかもしれない」というリスクに対して、侵害されている可能性のある期間を短くするためだ。

変更した後、攻撃者による不正ログインが不可能にならなければ意味がない。

しかし、そうした目的を達成するような変更を実施している利用者は少なかった。

 

ＥＧセキュアソリューションズの徳丸代表取締役は、利用者心理をこう説明する。

「利用者がパスワードに使えるエネルギーの総量は一定だ。あれもこれもと要求されると、どこかで手を抜く。定期変更時に末尾の数字を変えるだけだったり、『どうせ変更するから』という意識でパスワードの複雑性を下げたりする」。

 

ソフトバンク・テクノロジーの辻・脅威情報調査室プリンシパルセキュリティリサーチャーは、「定期変更を要求され、そのたびに複数のＷｅｂサイトでパスワードを覚え直したり、メモを書き直したりするのはとても手間が掛かる。パスワードの使い回しを誘発する原因にもなっていると思う」と分析する。

 

「人間が怠惰でなければ、定期変更のデメリットは出ないかもしれない。でも、実際の人間はそうではない」。

ＥＧセキュアソリューションズの徳丸代表取締役は、苦笑しながら話す。

 

・・・・・

 

出典

『パスワードを定期的に変えるのはデメリットが多い！？変更すべき4つの場合』

http://tech.nikkeibp.co.jp/it/atcl/column/17/092800400/101500004/

 

 

 

 

2018/04/01 (Sun) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)