最近流出した何千件ものHotmailユーザーのアカウントデータ(Gmailも影響を受けている)は,手順で誤りが生じたフィッシング詐欺キャンペーンから入手されたもののようだが,またしてもユーザーに使いやすいエコシステム悪いパスワード管理の慣行の問題が不可分であることが明らかになった。

 AcunetixのBogdan Calin氏が公表した1万件のパスワードの統計的な分析結果によれば,フィッシング詐欺を受けたユーザーの42%が小文字アルファベット(aからz)だけのパスワードを使っており,全体の22%が6文字のパスワード(Live.comの許している下限)を,それに続き21%のユーザーが8文字のパスワードを使っていた。

 もっともよく使われていたパスワードのトップ10は,次の通りだ。

- 123456 - 64
- 123456789 - 18
- alejandra - 11
- 111111 - 10
- alberto - 9
- tequiero - 9
- alejandro - 9
- 12345678 - 9
- 1234567 - 8
- estrella - 7

 大量の電子メールアカウントに対して総当たり攻撃を行う手法は,新規アカウントを登録するという,はるかに効率的で自動的なアプローチに取って代わられたが,影響を受けたユーザーが脆弱なパスワード管理しか行っていないことと,ユーザーが同じパスワード他のサービスでも共通して使っているという事実を組み合わせると,この単純な事実を知っているサイバー犯罪者は,好ましくない連鎖反応を作り出すことができることになる。

(関係する記事も参照して欲しい:Gmail, Yahoo and Hotmail’s CAPTCHA broken by spammersSpammers attacking Microsoft’s CAPTCHA ? againMicrosoft’s CAPTCHA successfully brokenLack of phishing attacks data sharing puts $300M at stake annuallyOnline broker CommSec criticised for weak passwords, lack of SSLパスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかにComcast responds to passwords leak on Scribd

 オンラインでの総当たり攻撃に対して,パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば,フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし,さらに悪いことにエンドユーザーがマルウェアに感染してしまえば,サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは,彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで,使われているすべてのサービスへのアクセスを許してしまうことだ。

 Hotmailでは,ユーザーはパスワードが72日ごとに期限切れになるオプションを設定することができるが,MicrosoftはそろそろGmailのように,ユーザーに対して「最近のアカウント利用履歴」機能を提供するべき時期ではないだろうか。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

関連記事