• Column
  • 大和敏彦のデジタル未来予測

サービスのデジタル化を支える個人認証の現状とこれから【第74回】

大和 敏彦(ITi代表取締役)
2023年11月20日

デジタル化の進展に伴い各種サービスのアプリケーション化やWeb化が進むと、各サービスの使用権を認証する必要がある。一般的な認証方法の1つがIDとパスワードだが、さまざまな問題が出てきている。一方で、三菱UFJ信託銀行や日立製作所など8社が連携し、個人認証を大手IT会社など特定の企業に預けなくても一つのIDで複数サービスを利用できる共通インフラの構築を発表してもいる。今回は、個人認証の現状と認証の将来を考えてみたい。

 デジタル時代になり、各種サービスを利用する際にIDとパスワードの入力を求められる場面が増えている。もう1つ別のパスワードを併用する二段階認証の採用も広がってきた。

 しかし、『パスワードの利用実態調査2023年』(トレンドマイクロ)によれば、回答した1030人のうち863人が、パスワードを複数のWebサービスで使い回していた。サービスごとに異なるパスワードを考えたり覚えたりするのは大変なため、パスワードの使い回しだけでなく、単純な数字の組み合わせや、よく使われる単語などをパスワードに利用しているケースが多い。

パスワードを盗みアカウントを奪う攻撃が増えている

 一方でアカウントを奪う攻撃が増えている。『Digital Defence Report2022』(米Microsoft)は、パスワードを盗み出しアカウントを奪う攻撃は世界で1秒間に921件が発生しており、前年から74%増えた。「アカウントの90%が強力な認証手段を使っていなかった」(同)とも報告されている。

 アカウントを狙う一般的な攻撃には次のようなものがある(図1)。

図1:アカウントを狙う攻撃方法の例

ブルートフォース攻撃 :攻撃者が可能なパスワードの組み合わせのすべてを攻撃者が試みる方法

辞書攻撃 :一般的なパスワードや、辞書に載っている単語、よく使われる言葉を攻撃者が総当たりで試す方法

違法に入手したIDとパスワードによる攻撃 :サイバー攻撃や、漏洩したデータから入手したID/パスワードを使って攻撃する

フィッシング :大企業や、よく使われるメールに成りすまして偽サイトに誘導してログイン情報を入力させる方法

マルウェア :コンピューターに進入し、同コンピューター上でのキー操作情報を記録し、アカウント情報や金銭に関する情報を盗み出す方法

 これらの攻撃でアカウントを乗っ取れば、そのアカウントやデータへの不正アクセスを試みることができる。個人情報の取得や改ざん・削除のほか、金融サイトや通販サイトでの不正な送金や不正購入、SNS(ソーシャルネットワーキングサービス)などでの不正投稿やなりすまし投稿などが可能になる。そのアカウントを介して、企業や組織の情報を盗み出したりウィルスを感染させたりもできる。

 パスワード攻撃に対し個人が採れる対策は、強力なパスワードポリシーを意識し、分かりにくいパスワードを設定し、定期的に変更しながら、かつ使いまわさないことが重要である。ログオンの回数を制限したり、定期的なアップデートを必須にしたりすることで、ブルートフォース攻撃や辞書攻撃のように繰り返し型の攻撃によって破られる可能性を下げられる。使用していないアカウントの削除も必要だ。

 ただ、サービスのネット化に併せ設定するパスワードは増える一方だ。パスワードが増えればパスワードの正しい管理が必要になり、信頼できるパスワード管理ソフトウェアの使用も有効である。複数の端末間で同期ができ、パスワードの強度審査やダークウェブのモニタリング機能を持つパスワード管理ソフトウェアもある。