HOMEIPAについて新着情報プレス発表 「オンライン本人認証方式の実態調査」報告書を公開

本文を印刷する

IPAについて

プレス発表 「オンライン本人認証方式の実態調査」報告書を公開

~ “通販・物品購入”事業者のウェブサイトで「パスワード設定の最小桁数」が8桁未満の割合は約8割と、
利用者に安全なセキュリティ環境を提供できていない実態が明らかに ~

2014年8月5日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、8月5日(火)、パスワードリスト攻撃によるネットサービスの被害が深刻なことをうけ、安全なオンライン本人認証の実現を目的とし、その実態を調査し、「オンライン本人認証方式の実態調査」報告書として公開しました。

 URL:http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html


 2013年以降、流出した個人のID・パスワード(以後、アカウント)が、不正アクセスに悪用される、“パスワードリスト攻撃”が多発しています(*1)。IPAではこれを受け、インターネットサービスにおける利用者(個人)とサービス事業者双方のオンライン本人認証(*2)の実態調査をおこない、安全なオンライン認証を実現する上での利用者側、サービス事業者側の対策を検討し、優先すべき対策項目を報告書として取りまとめました。

 調査結果から、利用者の安全なパスワードに対する認識は決して低くはないが、適切に設定している割合は低い。また、サービス事業者が提供しているパスワード設定のセキュリティレベルは最低限の安全条件を満たしているとは言い難い、という結果が判明しました。詳細は以下のとおりです。

(1)安全なパスワードの知識はあっても実際の設定はおろそかな利用者

  (報告書:P52 図21、P53 図22)
  1. サービス利用者のパスワードの設定条件に対する理解は「英字、数字、記号を組み合わせた文字列であること」74.2%、「名前や誕生日など、推測されやすい文字列を使わないこと」70.3%、「文字数は8文字以上であること」67.2%、と約7割が正しい認識を持っている。
  2. 金銭に関連したサイト(*3)を利用する際に実際設定しているパスワードは「ランダムな英数字の組み合わせ」26.8%と最多。「名前にちなんだもの」19.0%、「誕生日にちなんだもの」17.2%と推測されやすい文字列を使用している割合は2割弱、安全であると認識されている「ランダムな英数字と記号の組み合わせ」を設定している割合は13.1%にすぎない。

(2)利用者が金銭に関連したサイトでもパスワードを使い回しているのは、忘れてしまうから

  (報告書:P56 図25、P57 図28)
  1. 複数の金銭に関連したサービスサイトで「同一のパスワードを利用している」割合は25.4%。金銭に関連したサービスであっても約4分の1がパスワードを使い回している。
  2. パスワードを使いまわしてしまう理由は「パスワードを忘れてしまうから」が最多で64.1%、「複数のパスワードを管理するのが手間だから」が過半数の51.3%だった。

(3)事業者はサービスサイトにおいて十分なセキュリティ環境を提供できていない

  (報告書:P42図13、P43表30、図14、P44表31、P40表28)
  1. サービスサイトにおいて「パスワードを設定する際の最小桁数」が8桁未満の割合は58%。“通販・物品購入”サービスに限定するとその割合は79.2%だった。
  2. 「パスワードに使用可能な文字種」を“英字+数字+記号”としているサービスサイトはわずか11%で、“英字+数字”は69%と約7割を占めた。“通販・物品購入”に限定すると「パスワードに使用可能な文字種」を英字+数字としている割合は9割にも昇る。
    安全なパスワードに対する利用者の意識は進んでいるが、サービス事業者が十分なセキュリティ環境を提供できていない一端が伺える。
  3. “通販・物品購入”サービスではメールアドレスをIDとして設定している割合が69%あった。これは、IDが利用者にとって記憶しやすいという利点がある一方で、流出した場合にはスパムメール(*4)や標的型メールなど多様な攻撃に悪用される可能性がある。そのため、メールアドレスをIDとして利用することは望ましくない。

 なお、“金融”サービスでは、パスワードの桁数が8桁未満、文字種が英字+数字のみであっても、十分なセキュリティレベルの確保に向け、ワンタイムパスワードなどの多要素認証方式(*5)を採用しているケースが多かった。(P39表27)


(4)パスワード等の安全な認証に対する利用者の許容度は決して低くない

  (報告書:P64図38)
  1. 利用しているショッピングサイトのセキュリティを確保するために認証方法を変更する場合の許容範囲をきいたところ、「8文字以上のパスワードの設定が必要」に回答したのが71.8%と最多だった。
  2. しかし、「12文字以上のパスワード設定が必要」に回答した割合は24.5%と、その許容度は一挙に低くなる。このことから、利用者にとって安全のために許容できるパスワードは8桁以上12桁未満と考えらえる。
  3. そのほか、許容度が低いものには多要素認証があげられる。「複数のパスワード設定が必要」は14.6%、「トークンや使い捨てパスワード等の他の認証が必要」は14.2%だった。
  • 利用者は、安全確保のために文字数への許容量は高いものの、多要素認証に対しては高くないことがわかった。

インターネット利用者に対する提言

 安全なオンラインサービス利用のため、以下の4項目を優先して実施する必要があります。

  1. 使い回さない :サービスごとに異なるアカウントを設定する。
  2. 強いパスワード:8桁以上、英字(大・小文字)+数字+記号、推測が容易でない文字列とする。
            強いパスワードが提供されないサービスは利用すべきかを検討する。
  3. 適切な管理  :アカウントをPCに保存する場合は暗号化する。場合により管理ツールの利用も検討する。
  4. 定期的な変更 :定期的にパスワードを変更する。(ただし、1~3の実施が大前提)

サービス事業者が安全なオンライン本人認証方式を実施するための提言

 調査の結果から、サービス事業者は、利用者が安全なパスワードを設定可能なように、少なくともパスワードの最低文字数を8文字以上とすること、また文字種を増やすことが求められます。さらに、サイトが扱う情報やサービスに対するリスクを分析し、適切な認証手段を提供することが必要です。

 IPAは、利用者の安全と利便が損なわれないインターネットサービスの利用のため、また適切な認証手段とその導入負荷を事業者側が考慮するよう、本報告書が利用者、事業者双方に活用されることを期待しています。

「オンライン本人認証方式の実態調査」の概要は以下のとおりです。

利用者の調査
  1. 調査対象:男女別で20代~60代の層別均等    2,060名
  2. 調査期間:2014年4月4日~4月7日
  3. 調査方法:インターネットモニタ会社の保有する台帳から対象者を選定
  4. 主な調査項目
     ・個人がサービスサイトを利用する際に登録する情報
     ・個人がサービスサイトを利用する際に使用する認証方式の種類
     ・個人によるID・パスワードを記憶するためのツールの利用状況
     ・IDやパスワードへの条件とその強度についての個人の知識の状況
     ・個人の認証方式と登録に対して、抵抗感、受容の程度、使いやすさ、必要性、サービスサイト種別との関係などの意識
     ・その他、オンライン本人認証方式の安全性を保持するために必要と考えられる項目
サービスサイトの調査
  1. 調査対象:国内外のインターネットサービスサイト、国内100、海外30サイト
  2. 調査期間:2013年11月~2014年3月
  3. 調査方法:実際に各サイトへアクセスし、利用者登録等を実施。なお、契約等を必要とするサービスについては、利用者登録を行わず、公開情報から本人認証方式に関連する情報を収集
  4. 主な調査項目
    ・利用者登録時に要求する情報
    ・認証方式、通信方式の種別
    ・認証情報の内容、変更方式
    ・多重認証の場合は、各認証方法

脚注

(*1) 本報告書では公開情報をもとに2013年に発生した被害を調べ20社の不正アクセス期間、不正ログインの試行件数、成立件数、成功率をまとめている。

(*2) 本報告書ではNIST(米国国立標準技術研究所)が示す電子認証の定義「電子的な手段によって情報システムに提供されるユーザ身元識別情報の信用を確立するプロセス」と同義としている。

(*3) 本調査では利用者に対してサービスサイトを「金銭に関連した」「個人的な情報に関連した」「その他」に分類してアンケートを実施した。ここでいう「金融に関連したサービスサイト」とは銀行のオンラインバンキング、ショッピングサイト等のクレジットカード情報や銀行口座情報等を取り扱うサービスと定義している。

(*4) 無差別にばらまかれるメールのことで、インターネットバンキングのログイン情報を窃取するフィッシングサイトへの誘導を狙ったフィッシングメールや、マルウェアを添付してウイルス感染を狙うものなどがある。

(*5) 情報セキュリティの強度を高めるために、複数の認証方式を用いること。

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小松/花村

Tel: 03-5978-7530 Fax: 03-5978-7546 E-mail: 電話番号:03-5978-7530までお問い合わせください

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。