エンジニア東の活動日記

ネットワークエンジニアによるIT関連のブログです。ほどほどに生きています。

パスワードに代わる認証方法の普及を

またこういうトラブルが発生してしまいました。

 

内閣府、メールアカウント乗っ取られ2万件送信 : 社会 : 読売新聞(YOMIURI ONLINE)

内閣府は3日、NPO法人に関する情報を提供する「内閣府NPOホームページ」で、閲覧者からの問い合わせを受け付けるメールのアカウントが何者かに乗っ取られたと発表した。

 内閣府は、このメールに問い合わせをした63の個人や法人に、問い合わせ内容が流出した恐れがあるとして謝罪した。今のところ被害の報告はないという。

 発表によると、7月30日午前0時~2時頃、このアカウントを使って、不特定多数のアドレスにメール約2万件が送信された。これをシステムが検知し、発覚した。富士通が管理していたメールアカウントのパスワードが「短く推測されやすいものだった」内閣府)という。

 メールは、送信元を内閣府のメールアドレスとは別のものに偽装されて送信された。送信されたメールの内容は、乗っ取った人物により削除されているため、不明という。

 

パスワードが簡単過ぎて簡単に解読されてしまった

ということのようですね。

 

たった2時間で2万件ものメールが送信されたとのことで、

詳しい者による計画的な犯行ではないかと思われます。

悪用され被害が発生しなければ良いのですが。

こういうこともあるので、送信元が信頼出来る所であっても、

犯罪組織によるものの可能性があるので注意が必要ですね。

 

内閣府によるとその対応として業者に

”送受信したメールの適切な削除及びパスワードのセキュリティ管理の

徹底を指示し、実行させました。”

とのこと。

「NPO サポートデスク アカウントの不正利用について」

 

つまり、

「メールは削除。

パスワードが簡単すぎたので、難しいのに変えました。」

ということなんですが、こんな場当たり的な対応で良いのでしょうか。

 

パスワードを使用するサービスを使っていると、

・同じパスワードを使うな
・定期的に変更しろ
・短かったり推測されやすいパスワードを使うな
・身近な単語や数字を使うな
・手帳などに記載するな

“PCで仕事”を速くする:第12回 パスワードの決め方を考える - ITmedia エンタープライズ

 というようなことを言われることが多いんですが、

それは運営者側の無理な注文であって、殆どの人間には対応出来ないんですよ

(長らく現場でユーザーサポートをして来た人間として断言します)。

 

別途より現実的に対応可能なセキュリティ対策を実施しなければ、

このようなトラブルは定期的に繰り返されることになることは

まず間違いないでしょう。

これでもうすぐマイナンバーが導入されるなど、悪夢でしかありません。

 

私がパソコンを使い始めてもう30年近くになりますが、当時から今まで

ずっとパスワード認証が使われ続けていることに強い違和感を覚えます。

Linuxなどのプロのエンジニアが使用するシステムならともかく、

一般の方が使うGUI環境ではもう、パスワードというレガシーな

方式は追放してもらいたいものです。

 

マイクロソフトではWindows10で顔認証などの生体認証(Windows Hello)を

サポートし始めたようなので、これが早く普及すると良いと思っています。

www.itmedia.co.jp

ユーザーサポートをする者として、一般ユーザーが使用するシステムで

パスワード認証が無くなる日が来るのを心から祈っています。

 

そうすればネット銀行などの認証が必要なサービスを、

お年寄りなどに使ってもらい易くなると思います。

パスワードよりもコストは発生しますが、費用対効果は高いはずです。