不正アクセスの届出状況概要について
最終更新日:2002年 6月 6日
2003年 6月 6日
情報処理推進機構
セキュリティセンター(IPA/ISEC)
情報処理推進機構(略称IPA・村岡茂生理事長)は、2002年5月のコンピュータ不正アクセスの届出状況をまとめた。
5月度の届出件数は先月度とほぼ同水準の65件であった。
5月はMicrosoft社のサーバソフトウェアである「Microsoft SQL Server」を攻撃するSpidaワームによるアクセスを受けたという届出が3件あった。このワームはパスワードのないシステム管理者アカウントを利用して感染する。
感染の届出は無かったが、パスワード設定やアクセス権限設定は最も基本的なセキュリティ対策である一方で、最も基本的な侵入手口であることを認識してセキュリティ対策を実施して頂きたい。
たかがパスワード、されどパスワード
個人、法人を問わずネットワークへの接続やメールを送受信する際には、必ずパスワードの入力が求められる。日常的に無意識にパスワード入力するためその重要性を忘れがちであり、ユーザによってはパソコンに保存(記憶)させているため、当初自分が設定したパスワードすら思い出せない事も多いのではないかと思われる。
一方で、たやすく推測されるようなパスワードであるためパスワードを破られたり、紙(付箋など)に書きとめたパスワードなど盗難された場合には、利用者本人に成りすますことが可能であることから、これらが原因で個人情報や企業の機密情報などが盗まれる可能性が高い。
ここでは、セキュリティ対策の基本中の基本であるパスワード設定について、その重要性を再確認し、設定方法などを説明する。
破られやすいパスワード
以下は、破られやすいパスワードの設定例である。
- 長さが不十分
- 辞書に載っている単語を利用
- ユーザIDと同じパスワード
- 自分又は家族の情報や誕生日
- 固有名詞
- 単純な数字や文字の並び
- 過去に使用したパスワードの再利用
破られにくいパスワード
以下は、破られにくいパスワードの設定例である。
- 大文字・小文字・数字・記号の組み合わせ 記号(!、#等)、数字、英字を適当に織り交ぜる
- 長いパスワード 最低8文字以上
- 推測しづらく自分が忘れないパスワード 無作為で意味を持たない文字列であること
例えば、以下のようなパスワードは推測困難なパスワードの例です。(ただし、ここで挙げたものは、公開されたことになりますので利用しないで下さい)
b8!sPi$21tQ
G6pB#iyf7%4E
5yX(wNn&o
パスワード盗難対策
以下は、パスワードの盗難対策の例である。
- 定期的にパスワードを変更する。
- 紙に書き留めない。
- マシンに保存しない。
- 人に教えない。
下の図は、オートコンプリートによりパスワードが保存されている例である。
パスフレーズによるパスワード設計
以下は、パスフレーズによるパスワード設計の参考例である。
ステップ1)パスフレーズを思い浮かべる。(例:春はあけぼの)
「HARUHA AKEBONO」
ステップ2)
パスワード作成↓↓↓ 母音を抜き記号や数字を挿入
「HR$HK%BN」
(ただし、ここで挙げたものは、公開されたことになりますので利用しないで下さい)
パスワード管理
管理者が行うパスワード管理手法やパスワード解析の手口、パスワード設定方法については、以下のURLを参照されたい。
「小規模サイト管理者向けセキュリティ対策マニュアル」
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/index.html
問い合わせ先:
IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
| TEL: | 03-5978-7508 |
| FAX: | 03-5978-7518 |
| E-mail: |  |
| 相談電話: | 03-5978-7509 |
| URL: | http://www.ipa.go.jp/security/ |
更新履歴
| 2002年 6月 6日 | 掲載。 |
|---|