HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第16-15-361号
掲載日:2016年 12月 21日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

安心相談窓口だより

SNSで公開している誕生日などの情報を使ったパスワード設定は推測されやすくNG

一覧を見る

2016年11月30日、女性芸能人の携帯電話会社の契約者向けサイトやクラウドサービスに不正にログインをしたとして、男性が逮捕されたという報道がありました。報道によれば、男性は女性芸能人の誕生日やニックネームなど、ブログやSNSに公開されている情報からパスワードを推測したとされています。

図 1:インターネットに公開されている情報からパスワードを推測する(イメージ)
図 1:インターネットに公開されている情報からパスワードを推測する(イメージ)

IPAが12月20日に公開した「2016年度 情報セキュリティの脅威に対する意識調査※1」では、“誕生日など推測されやすいパスワードを避けて設定している”のは年々減少傾向で、全体の47.0%でした。この結果から、実に半数以上がパスワードに誕生日などの推測されやすい情報を利用していることになります。

利用しているサービスへの不正アクセス被害を防ぐために、次に挙げるような観点で対策を実施してください。

 
(※1) 
2016年度情報セキュリティの脅威に対する意識調査」P.64「4-4-1.パスワードの設定方法①」
https://www.ipa.go.jp/files/000056568.pdf

(1)ブログやSNSに書き込んだ内容からパスワードが推測される場合も

ブログやSNSを利用している場合には、公開しているプロフィール情報により、誕生日などは不特定多数に知られているものと考えるべきで、公開情報を用いたパスワードの設定は適切とはいえません。

仮にプロフィール情報を公開していない場合でも、たとえば誕生日などはアカウント(ユーザーID)に使用している数字や誕生会の様子に関する投稿などから、推測される可能性があり、意図しない悪用の可能性も考えられます。

また、パスワードだけでなく「秘密の質問」の設定にも同様のことが言えます。「秘密の質問」に対する答えもブログやSNSに公開している情報(ペットの名前や出身校など)を用いないことが賢明です。※2

図 2:パスワードや秘密の質問の答えとして推測されやすい情報の例
図 2:パスワードや秘密の質問の答えとして推測されやすい情報の例

 
(※2) 
2015年7月の呼びかけ 「その秘密の質問の答えは第三者に推測されてしまうかもしれません 」
https://www.ipa.go.jp/security/txt/2015/07outline.html

(2)万が一の不正アクセス被害に備えた対策を

冒頭の事案では、女性芸能人が身に覚えのないパスワード変更の通知を受け取ったことで不審を覚えたとされています。

サービスによっては、パスワード変更やログインしたことをメールなどで利用者に知らせるアラート通知の機能があります。このほか万が一パスワードが判明してしまっても不正なログインを回避できる、二段階認証※3といったセキュリティ機能も用意されている場合があります。

IPAは第三者による不正利用を回避するために、適切なパスワードの設定、管理※4に加え、これらのセキュリティ機能が提供されている場合には、積極的に導入することを推奨します。

 
(※3) 
パスワード以外にもログイン時に入力が求められる、2つの情報を用いた認証方法のこと。
(※4) 
安心相談窓口だより 不正ログイン被害の原因となるパスワードの使い回しはNG
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html

更新履歴

2016年12月21日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 渡辺(や) 野澤

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。