ZDNetニュース
フィッシング詐欺のデータ流出:脆弱なパスワードが多いことが明らかに最近流出した何千件ものHotmailユーザーのアカウントデータ(Gmailも影響を受けている)は,手順で誤りが生じたフィッシング詐欺キャンペーンから入手されたもののようだが,またしてもユーザーに使いやすいエコシステムと悪いパスワード管理の慣行の問題が不可分であることが明らかになった。 AcunetixのBogdan Calin氏が公表した1万件のパスワードの統計的な分析結果によれば,フィッシング詐欺を受けたユーザーの42%が小文字アルファベット(aからz)だけのパスワードを使っており,全体の22%が6文字のパスワード(Live.comの許している下限)を,それに続き21%のユーザーが8文字のパスワードを使っていた。 もっともよく使われていたパスワードのトップ10は,次の通りだ。
大量の電子メールアカウントに対して総当たり攻撃を行う手法は,新規アカウントを登録するという,はるかに効率的で自動的なアプローチに取って代わられたが,影響を受けたユーザーが脆弱なパスワード管理しか行っていないことと,ユーザーが同じパスワードを他のサービスでも共通して使っているという事実を組み合わせると,この単純な事実を知っているサイバー犯罪者は,好ましくない連鎖反応を作り出すことができることになる。 (関係する記事も参照して欲しい:Gmail, Yahoo and Hotmail’s CAPTCHA broken by spammers,Spammers attacking Microsoft’s CAPTCHA ? again,Microsoft’s CAPTCHA successfully broken,Lack of phishing attacks data sharing puts $300M at stake annually,Online broker CommSec criticised for weak passwords, lack of SSL,パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに,Comcast responds to passwords leak on Scribd) オンラインでの総当たり攻撃に対して,パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば,フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし,さらに悪いことにエンドユーザーがマルウェアに感染してしまえば,サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは,彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで,使われているすべてのサービスへのアクセスを許してしまうことだ。 Hotmailでは,ユーザーはパスワードが72日ごとに期限切れになるオプションを設定することができるが,MicrosoftはそろそろGmailのように,ユーザーに対して「最近のアカウント利用履歴」機能を提供するべき時期ではないだろうか。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ 関連記事
Copyright 2006-2009 CNET Networks,Inc. All rights reserved.
 |
