フィッシング対策協議会報告書を読み解く。自衛のために何が必要か

2020/01/21

phishing_top.jpg

金銭に関連する情報、個人情報、機密情報を盗み取るために行われる詐欺行為を総称して「フィッシング」と呼ばれていますが、このフィッシングを試みる件数が世界的に増加しています。2019年に行われたアメリカの情報セキュリティ関連サイトの調査では、1年前と比べてフィッシング攻撃件数が400%増加しているという報告されています。

では、日本の状況はどのようになっているのでしょうか。情報セキュリティ、インターネット、通信事業者などを中心に結成されている「フィッシング対策協議会」の2019年報告書を見ていきたいと思います。

 

 

認証方法の80%は「IDとパスワードのみ」

phishing_1.jpg

2019年フィッシング対策協議会の調査の回答は、いずれも企業で「金融・地銀」「クレジットカード保険」「インターネット販売(ECサイト)「交通機関」「通信」など業界が多岐に渡ります。合計308社が回答に応じており、回答結果は「業種ごと合計」と「総計」の2つに分けて発表されています。

まず、「利用している認証方法について」の質問ですが、およそ80%が「IDとパスワードのみ」という結果となりました。スマートフォンと親和性が高い「ECサイト」「ゲーム」は、多要素認証を用いている比率が30%を超えていましたが、「保険」「通信」といった業界では多要素認証を利用する比率が10%を切っているという状態です。

そして、IDとパスワード以外の認証に対応している企業は、「ソフトウェアトークン型ワンタイムパスワード」が最も多く33.8%、これに続いて「生体認証」が32.4%で2番目、そして「電子メール認証」が28.2%で3番目となっています。グーグルやマイクロソフトが無償で提供する、スマートフォンを利用した「認証システム (Authenticator)」は無料で利用でき、かつ安全性が高いため、多くの企業はソフトウェア型ワンタイムパスワード方式を選択したと推察します。

次に、IDとパスワード以外の認証を行っている企業が、その方法を必須としているか、については85.9%は「必須にしている」、残りが「必須にしていない」という回答になりました。

ここまでで分かる点としては、「インターネットにおける認証の主役はいまなお『IDとパスワード』」であり、今後主役の座を明け渡すことになるとしても、まだ相当に時間がかかるだろうという点です。

 

 

パスワード設定ルールの運用について理解する

phishing_2.jpg

IDとパスワードによる認証を突破されないためには、簡単に突破できるパスワードを設定させないといったルールが求められます。

回答企業308社がパスワードに関して設ける制限(複数回答)は、以下の通りです。

  • 文字数(規定文字以上)76.0%
  • 英小文字の使用 58.1%
  • 数字の使用 53.9%
  • 英大文字の使用 40.3%
  • 記号の使用 19.8%
  • その他 1.0%

これに加えて、以下の設定不可ルール(複数回答)を適用しています。

  • 以前に設定したパスワード 46.8%
  • IDと同じ文字列 43.5%
  • 単純で推測されやすいもの 38.6%
  • 誕生日 38.6%
  • 名前 20.8%
  • 特にない 17.2%
  • その他 1.0%

この回答を見る限り、ユーザーの利便性を考慮するため、厳しい設定規則を適用していないことが分かります。例えば、パスワードに「誕生日」の設定を不許可にしている事業者が38.6%、逆に言うと61.4%の事業者ではパスワードに誕生日を設定できるということです。名前についても、20.8%が不許可、つまり79.2%が名前をパスワードに設定できるということです。単純で類推されやすいものも、不許可が38.6%、許可が61.4%となります。

 

 

パスワードを従業員任せにする危険性

phishing_3.jpg

ここから読み取れるのは、「パスワードの作成・管理をユーザー任せにすることの危険性」です。

企業が業務でSaaSを利用する動きが拡大していますが、SaaSで利用するアカウントのパスワードを従業員に管理させてしまうと、セキュリティ知識が十分でない従業員により「実名が入ったパスワード」「誕生日が入ったパスワード」「IDと同じ文字列」といった脆弱なパスワードを設定されてしまい、結果不正アクセスと情報漏えいが起こりかねません。

従業員は日々多忙なので、ITセキュリティポリシーやパスワードに関する社内規則を通達したところで、「時間がない」ことを理由に安全性が低いパスワードを設定しかねません。また、使い回しパスワードを利用されるリスクもあります。

フィッシング対策協議会の質問で、回答企業がどのような攻撃を受けたかについて回答する項目があります(複数回答)。この中で、23.3%の企業が「パスワードリスト攻撃」を受けたと回答しています。

パスワードリスト攻撃とは、攻撃を受けて情報漏えいした「ID」と「パスワード」の組み合わせを使って、様々なサイトに不正アクセスを試みるという攻撃です。漏えいした「ID」「パスワード」は、通信を完全に暗号化するツールを使ってのみアクセスできる「ダークウェブ(闇ウェブ)」上で不正に販売されており、誰でも入手することが可能です。

もし、漏えいしたサイトで使っていたのと同じIDとパスワードの組み合わせを、他のサイトで使っている(使い回している)場合、比較的容易にパスワードリスト攻撃による不正アクセスが成功します。このため、パスワードリスト攻撃は使い古された手法ではありますが、いまだに脅威となっているのです。

・参考記事
パスワードの使い回し、わかっているけどやめられない
漏えいパスワードが売買!?ダークウェブとは何か

「安全性が低いパスワードが設定されるリスク」、そして「パスワードが使い回されるリスク」を考えると、企業の重要情報を含むSaaSへアクセスするパスワード設定を、従業員に行わせる危険性をご理解頂けるかと思います。

 

 

従業員をパスワード管理から解放する「トラスト・ログイン」

phishing_4.jpg

フィッシング対策協議会の報告書から、パスワードに関するリスクをご理解いただけたかと思います。セキュリティを高める方法として現実的なのは、「企業が従業員に代わり、パスワードを集中管理し、従業員をパスワード管理から解放する」というものです。当社の「トラスト・ログイン」を利用すると、この集中管理が可能となります。

トラスト・ログインは、情報セキュリティ事業を20年以上行っている、GMOインターネットグループの当社「GMOグローバルサイン」が、企業や従業員に代わり、SaaSや社内情報システムにアクセスするID・パスワードをまとめてお預かりするサービス (IDaaS) です。

各企業が自社内で従業員が利用するID・パスワードを主導で管理するのは現実的ではありません。当社がお客様に代わってお預かりし、従業員がアクセスしたいときにログインを可能とする。パスワード自体は従業員には教えないので、従業員がパスワードを漏えいさせるリスクも、脆弱なパスワードを設定されるリスクも、また使い回されるリスクもありません。

ぜひ一度お試し頂き、「トラスト・ログイン」を用いたセキュリティの向上を実感頂ければと思います。