Enterprise

企業

2015.09.18 投稿者: ブログチーム

“ID+パスワード認証”が抱える  根本的なセキュリティーリスク(1)

“ID+パスワード認証”が抱える  根本的なセキュリティーリスク(1)

 “模型メーカーのタミヤは7月21日、Webサイトへの不正アクセスによって最大10万人強の個人情報が漏えいした可能性があると発表した。同日時点で顧客の被害報告はないとしている。

 同社によると、情報漏えいの可能性は同月6日にJPCERT コーディネーションセンターからの通報で発覚、IT管理部門とWebサイト製作委託会社と調査を開始し、10日にWebサービスを停止した。セキュリティ専門機関も交えた調査で不正アクセスの痕跡と、Webサイト利用者の個人情報漏えいの可能性が認められたという。

 漏えいした可能性のある情報は以下の通り。なお、クレジットカードや決済情報の漏えいはないとしている。”

 “同社では「タミヤショップオンライン」「TRFサイト」登録者に対し、同じパスワードを他のWebサイトなどで利用している場合は、変更するよう呼び掛けている。現在は対策を講じており、第三者機関の安全確認を受けから各種サービスを再開する予定だと説明している。”

(2015年07月21日 IT Media 「タミヤに不正アクセス、最大10万人強の個人情報漏えいか」)

 タミヤ社の公式サイトによると、不正アクセスが発覚した経緯は、一般社団法人 JPCERT コーディネーションセンターより「WEBサーバーから情報の一部が漏洩している」と通報があったことから調査を行った結果判明したとしています。

 7/21時点では顧客の被害報告はないとされていますが、二次被害が起こらないように、“登録者に対し、同じパスワードを他のWebサイトなどで利用している場合は、変更するよう呼び掛けている。”とあります。
これは、「パスワードリスト攻撃」の脅威を警戒してのものでしょう。

 「パスワードリスト攻撃」とは、悪意のある第三者が何らかの方法で入手したIDとパスワードをリスト化し、それを使用して各種のWebサイトに不正アクセスを試みるものです。IDとパスワードが合致すれば、セキュリティーホールのない安全なWebサイトでも不正アクセスできてしまうという非常に危険なもので、かねてから独立行政法人情報処理推進機構(IPA)や警察庁からも注意喚起がなされています。

 とはいえ、複数のサイトでそれぞれ異なるIDとパスワードを自身で管理するのは、個人の利用者にとっては面倒なことであり、良くないとわかっていても「まぁ大丈夫だろう」と、いわゆるパスワードの使い回しをしてしまう利用者は少なくありません。その危険性の重さを十分に周知させることも容易ではありません。つまり、IDとパスワードによるユーザー認証は、個人の情報セキュリティーリテラシーに依存するという部分に問題が残る仕組みだといえます。

 

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top