セキュリティの常識、今・昔
先週に楽天証券で無断で売却&見知らぬ中国株が購入されていて多額の損害を被ったという報告が相次ぎ、週末にSBI証券なども緊急メンテナンス。合わせて緊急の注意喚起が利用者に送られました。ただちに追加認証を設定して資産の保全を図るようにとのことです。原因については、当初はメールによるフィッシング詐欺との見方がありましたが、被害者からは異なる経路によるものではないかと指摘されています。資格情報マネージャーで管理している情報がマルウェアで詐取されたのでは推測している方もおられましたが、今のところ、はっきりとはしていません。
これらの利用者側のセキュリティ対応ですが、昔の常識もずいぶんとアップデートされています。企業の情報システム部門からの推奨事項も、あわせて変更が必要になります。いくつか挙げていきましょう。
1.パスワードの頻繁な更新
以前は定期的にパスワードを更新することが推奨されていましたが、現在ではその価値が低いとされています。NISTなどもパスワードの定期的な更新を推奨しなくなっています。(データ侵害でパスワードが漏洩した場合にのみパスワードを変更する必要があることが示されています。)
2.複雑なパスワード要件
文字、小文字、数字、記号を組み合わせた複雑なパスワード要件も、以前は推奨されていましたが、現在ではその有効性が疑問視されています。同じ古いフレーズを使用し、パスワード要件に合わせてわずかに調整するだけというものがよく見られるためです。NISTは、不要な複雑さを避けることを推奨しています。
3.パスワードヒントやセキュリティ質問
パスワードヒントやセキュリティ質問(例:「あなたの最初のペットの名前は?」)も、以前は一般的でしたが、現在ではその使用を避けるべきとされています。これらはソーシャルエンジニアリングを通じて簡単に推測される可能性があるためです。
4.PPAP(P:Password付zip暗号化、P:Password別便送付、A:暗号化、P:プロトコル)
ファイルをZip形式で圧縮し、パスワードを別のメールで送る方法でしたが、送信経路が同じで意味がない、パスワード付きZIPだとウィルスチェックが働かない、ファイル解凍の手間など、煩わしいだけでセキュリティリスクを高めるわけではないため、現在は非推奨です。
5.SMS認証
以前は推奨されていたが、現在では非推奨になっているセキュリティ対策の一つです。SMS認証は、SIMスワッピングやSMSインターセプションなどの脆弱性があり、NISTやFBI、CISAなどからも非推奨されています。代わりに、認証アプリやハードウェアトークンなどのより安全な方法が推奨されていますこの他にも、パズルを解かせるCapcha認証なども、非推奨まではいかないものの効果が疑問視されています。
逆に推奨されるのは、長いパスワード(少なくとも8文字以上。長ければ64文字まで)、Unicode文字を含めた文字オプションの充実(例えばパスワードに漢字を使えるなど)、パスワードマネージャの利用などです。またシステムサイドでは、古い暗号化アルゴリズムの使用を止める必要があります。例えば、MD5やSHA-1、TLS1.0/1.1などの古い暗号化アルゴリズムは、以前は広く使用されていましたが、現在では非推奨されています。またパスワード試行回数の制限やパスキー、多要素認証を使用も推奨されます。
