So-net無料ブログ作成

本人認証実態調査~4割がパスワード使い回し、適切設定はわずか13%(IPA) [ネットリテラシー]

 流出した個人のID・パスワードが不正アクセスに悪用される「パスワードリスト攻撃」が多発していることから、IPA(情報処理推進機構)はインターネットサービスにおける本人認証の実態調査を行い、「オンライン本人認証方式の実態調査」を公開した。利用者側とサービス提供側それぞれが抱える問題を明らかにし、対策を提言している。

 利用者側の調査は、インターネットモニタ会社の台帳から20~60代を層別均等に選定した2060名に対し、Webアンケートを行った。サービスサイトの調査については、金融や通販、交通、情報配信など8サービスについて、国内から100サイト、海外から30サイト、計130サイトを選び、利用者登録等を実施して情報収集した。調査期間は、利用者側は2014年4月4~7日、提供側は2013年11月~2014年3月。

■正しい知識を持ちながら、実際の設定には反映されない

 利用者がパスワードを作成する際に安全性を高めるために必要な事柄について尋ねた結果は、「英字、数字、記号を組み合わせた文字列にする」「名前や誕生日など推測されやすい文字列は使わない」については70%超、「文字数は8文字以上である」は67%の認識があった。「他のサイトで用いたパスワードを流用しない」については41%が認識していた。
 一方、利用の実態をみると、クレジットカードや銀行口座など「金銭に関連したサービスサイト」でのパスワード構成は、「ランダムな英数字の組み合わせ」が27%で最も多く、次いで「自身・家族等の名前にちなんだもの」19%、「自身・家族等の誕生日にちなんだもの」17%と続く。安全と認識されている「ランダムな英数字と記号の組み合わせ」は13%にとどまり、正しい知識があっても実際には生かされていないことがわかる。

■利用者の4割が「パスワード使い回し」、理由は「忘れてしまうから」

 「金銭に関連したサービスサイト」でのパスワードの使い回しについては、「他のサービスサイトと同一のパスワードは利用していない」が43%で最も多い。しかし、「金銭に関連したサービスサイト」と同一のパスワードを利用しているという回答が25%、金銭に関連していない他のサービスサイトと同一のパスワードを利用しているという回答も12~13%あり、全体として41.8%がパスワードを使い回している結果となった。
 パスワードを使い回す理由については、「(同一にしないと)パスワードを忘れてしまうから」が64%と最も多く、次いで「複数のパスワードを管理するのが手間だから」51%、「一つのパスワードを利用していると簡単だから」42%と続く。

■業者側の問題:パスワード設定条件が甘く、半数以上がメアドをIDに設定

 調査では、事業者側の問題として、利用者が設定できるパスワードの条件が十分ではないことが明らかになった。「パスワードを設定する際の最少桁数」を6桁以下に設定しているサイトは、全体の57%を占めた。8桁未満は58%で、「通販・物品購入」サービスに限定すると79%となる。「パスワードに使用可能な文字種」は、「半角英数のみ」が69%と7割を占め、「半角英数+記号」としているサイトは11%にすぎない。
 メールアドレスをIDとして利用することは、流出した場合にスパムメールや標的型メールなどの攻撃に悪用される可能性もあり、問題視されている。しかし、今回の調査では、メールアドレスをIDとして設定可としているサイトが全体の55%を占めた。「情報配信・提供」サイトでは72%、「通販・物品購入」サイトでは69%がメールアドレスをIDとしている。

■利用者が許容できるパスワードは8桁以上12桁未満、多要素認証は不評

 この調査では、利用者の「認証方式変更への考え方」を知るため、ショッピングサイトを利用していると仮定して、認証方式の変更がどの程度であれば許容できるかを調べている。その結果は、「8文字以上のパスワード設定」には72%が許容、「英字、数字、記号の組み合わせのパスワード設定」も49%が許容している。しかし、「12文字以上のパスワード設定が必要」については25%に下がり、「IDをメールアドレス以外のものにする」場合も33%にとどまる。「複数のパスワードが必要」は15%、「トークンや使い捨てパスワード等の他の認証が必要」は14%と、多要素認証への許容も低いものとなった。

■利用者への提言

 報告書は、安全なオンラインサービス利用のため、次の4項目を優先して実施するよう、利用者に提言している。

 (1) 使い回さない:サービスごとに異なるアカウント(ID/パスワード)を設定する
 (2) 強いパスワード:8桁以上、英字(大・小文字)+数字+記号、推測が容易でない文字列とする
 (3) 適切な管理 :アカウントをパソコンに保存する場合は暗号化する。管理ツールの利用も検討する
 (4) 定期的な変更:定期的にパスワードを変更する

 また、サービス事業者に対しても、利用者が安全なパスワードを設定できるように、少なくとも最低文字数を8文字以上とすること、文字種を増やすことを求めている。さらに、サイトが扱う情報やサービスに合わせて、適切な認証手段を提供する必要があることを訴えている。

(2014/08/07 セキュリティ通信)

【関連URL:IPA】
「オンライン本人認証方式の実態調査」報告書について
http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html
・調査報告書全文[PDF]
http://www.ipa.go.jp/files/000040778.pdf
・プレスリリース[PDF]
http://www.ipa.go.jp/files/000040798.pdf