シマンテックは16日、各種メールプロバイダのパスワード再発行機能を悪用した、モバイルユーザーを標的とするスピア型フィッシング詐欺が増加していると、同社ブログにて注意を促した。これによると犯罪者は、メールプロバイダにおいて利用者がパスワードを忘れた際に使用するパスワードの再発行機能のうち、携帯電話に送られる「確認コード」を利用して、メールアカウントにアクセスする。確認されたほとんどのケースがGmail、Hotmail、Yahoo!メールのユーザーだという。具体的な流れとしては、被害者のメールアドレスと携帯電話番号を入手している犯罪者が、被害者のメールアカウントにアクセスし、パスワードを忘れた際に使われる代替認証をスキップし、確認コードを携帯電話にSMSで送付するというオプションを選択することから始まる。犯罪者がSMSオプションを選択すると、アカウントの本来の持ち主である被害者の携帯電話に、SMSで確認コードが送られることになる。ここで犯罪者は、被害者の携帯電話に、SMSで「あなたのアカウントに不正なアクセスが検出されました。これを止めるために携帯電話に送られた確認コードを返信してください」といった内容の文面を送る。被害者はこれをサービスプロバイダからのメッセージと勘違いし、送られてきた正規の確認コードを返信してしまう。これで、犯罪者はメールアカウントに侵入するための確認コードを手に入れることができる。また、確認コードの返信が行なわれない場合、犯罪者は続けて「アカウントに不正なサインインが続いています。確認コードを再送しましたのでこれにご返信いただかないとアカウントの保護が不可能になります」といった内容のSMSを送信し、早期の返信を促すようになるという。確認コードを手に入れた犯罪者はメールアカウントのパスワードを変更し、自由にアカウントへアクセスできるようになる。この際、犯罪者は自分の自由にできるメールアカウントを、被害者のアカウントの代替アカウントとして追加し、メッセージを自動転送するといった設定も行なう可能性がある。これらの不正アクセスは、クレジットカードの番号を盗み出すような金銭目的ではなく、被害者の情報を集めるタイプとのこと。シマンテックでは、確認コードに対するSMSメッセージに注意すること、自分が確認コードの送信を要求していない場合は特に警戒が必要としている。さらに、メールプロバイダでは確認コードに対して返信を求めることはないとも言及している。
2015年06月18日三菱東京UFJ銀行は、振り込みなどの取引を実施する際の本人認証を、セキュリティの高いワンタイムパスワードのみにすると発表した。8月9日以降に個人向けインターネットバンキングである「三菱東京UFJダイレクト」を新たに契約する全顧客に適用する。既存ユーザーについても、来年度前半をめどに必須にする。これは、金融機関を装った偽メールや偽画面により、第三者がパスワードなどを詐取して不正に送金を行う事案の発生を受けてのセキュリティ強化策。同行では、不正送金被害の抑制を目的に、これまで、ウイルス対策ソフト「Rapport(ラポート)」の提供や、利用限度額変更手続きの見直し、テレビCM・新聞広告などによる注意喚起を行ってきた。また、ワンタイムパスワードを生成する「ワンタイムパスワードアプリ」「ワンタイムパスワードカード」の提供など、インターネットバンキングのセキュリティ対策も進めてきた。今回、さらなる強化策として、「三菱東京UFJダイレクト」で取引を実施する際には、スマートフォンアプリまたは専用カードでのワンタイムパスワードの利用を必須としていく。同行の公式スマートフォンアプリとして提供している「三菱東京UFJ銀行」アプリにも、ワンタイムパスワードの機能を追加し、1つのアプリでワンタイムパスワードの利用を可能とする。当面は、新たに契約した顧客を対象とするが、既に契約している顧客に対してもワンタイムパスワードへの切り替えを推奨し、平成28年度前半をめどに、振り込みなどの取引時にワンタイムパスワードの利用を必須とする予定だ。
2015年06月18日シマンテックは6月17日、ユーザーを欺いてメールアカウントにアクセスする、パスワード再発行詐欺が横行しているとして、同社ブログで注意喚起を行った。これは、モバイルユーザーを標的とする特定のスピア型フィッシング攻撃で、攻撃の目的は標的のメールアカウントにアクセスすること。ソーシャルエンジニアリングのテクニックが巧妙なため、手口に引っかかる人がすでに現れていることも確認されている。メールサービスのプロバイダーは、パスワードを忘れてアカウントにアクセスできないユーザーのためにパスワード再発行の機能を用意しており、大抵は携帯電話の番号に確認コードを送信している。攻撃者はこの仕組みを悪用する。シマンテックが確認したケースのほとんどは、Gmail、Hotmail、Yahooメールのユーザーに影響するもの。Gmailの場合、携帯電話番号を登録しておけば、パスワードを忘れた場合でもGoogleから携帯電話に確認コードが送信され、アカウントにアクセスできるようになり、パスワードを再設定できる。ここで犯罪者が登場する。犯罪者が、ユーザーのメールアドレスと携帯電話番号はわかっているが、パスワードがわからない場合、アカウントを乗っ取ろうとしているユーザーのGmailのログインページにアクセスし、メールアドレスを入力して 「お困りの場合」リンクをクリックする。これは、ユーザーがログイン情報を忘れた時に使うリンクだ。「覚えている最後のパスワードを入力してください」、「端末(機種とモデル番号)でのパスワード再設定の確認」などのオプションが表示されるが、犯罪者はどれもスキップして、「確認コードを携帯端末(携帯電話番号の末尾)で取得します」というオプションが表示されるページまで進む。確認コードがSMSで6桁の確認コードが本当のユーザーに送付されるが、同時に犯罪者は、ユーザーに「Google があなたのアカウントで異常なアクティビティを検出しました。不正なアクティビティを止めるために、モバイルデバイスに送信されたコードを返信してください」というSMSを送信する。ユーザーはこれを正規のメッセージと考え、確認コードを犯罪者に送付してしまう。犯罪者は、この確認コードを使って仮パスワードを手に入れ、メールアカウントにアクセスできるようになる。シマンテックでは、この攻撃の対処方法として、確認コードに関するSMSメッセージには注意するように警告している。
2015年06月18日三菱東京UFJ銀行はこのたび、5月10日よりインターネットバンキングの取引時の本人確認方法として、Eメールによるワンタイムパスワードを追加すると発表した。Eメールによるワンタイムパスワードは、ワンタイムパスワードカードやアプリで表示するワンタイムパスワードとは異なり、インターネットバンキングを悪用した第三者による不正送金を防止するため、契約者本人以外の操作の可能性があると同行が判断した場合、「Eメールによるワンタイムパスワード」を顧客の登録メールアドレスに通知し、顧客にワンタイムパスワードの入力をお願いする場合がある。ログイン時の「Eメールによるワンタイムパスワード」は、2012年2月12日より導入済み。Eメールによるワンタイムパスワードを入力できない場合、インターネットバンキングでログインや取引ができなくなるという。同行からのEメール受け取ることのできるEメールアドレスを必ず登録してほしいとしている。携帯電話を持っている顧客は、利便性と安全性のため、携帯電話のEメールアドレスの登録を強くすすめているという。Eメールアドレスの変更は、インターネットバンキングにログイン後、【その他 メニュー一覧】の【Eメールアドレス変更】から手続きできる。ドメイン指定など受信設定されている場合は、以下ドメインからのEメールが受信できるように設定してほしいとしている。……@direct-11.bk.mufg.jp.……@mufg.jp.……@personal.bk.mufg.jp.……@bkmail.dccard.co.jp.……@debit.bk.mufg.jp.
2015年04月28日インターネットイニシアティブ(IIJ)は、ワンタイムパスワードの管理アプリケーション「IIJ SmartKey(アイアイジェイ・スマートキー)」を4月1日より、App StoreおよびGoogle Playにて無償で提供開始した。同アプリは、スマートフォン向けのワンタイムパスワードを生成する。TOTPと呼ばれる標準規格に対応した各種Webサービスの二要素認証で利用でき、1台の端末で複数のワンタイムパスワードを一元管理する。同アプリは起動時に、Touch IDまたはパスコードによる認証が要求されるほか、認証の失敗回数によって一定時間入力をブロックする。また、設定情報をQRコードでエクスポートできるため、端末の機種変更時は、旧端末上に表示させたQRコードを新端末で読み取ることにより、設定情報を簡単に引き継ぐことが可能。3月13日時点で動作が確認されているWebサービスは、IIJセキュアMXサービス(スペアメールオプション)、Amazon Web Services、Dropbox、Evernote、Facebook、Googleアカウント、Google Apps for Work、Microsoftアカウントで、今後、順次追加される。
2015年04月03日日本交通文化協会は4月3日~4月9日、JR原宿駅(東京都渋谷区)のホーム前にて、パスワード強化を訴求するポスターを展示する。今回のポスターは、同協会が情報処理推進機構と共催する第44回「原宿ファッションジョイボード文化展」として、ネットサービスでの不正ログインの被害を防ぐ取り組みとして展示される。テーマは「パスワード ― もっと強くキミを守りたい ―」。「原宿ファッションジョイボード文化展」は、1979年12月から春と秋の年2回開催されている。JR原宿駅のホーム沿いに設置されている大型看板全面を1週間限定で貸し切り、1つの社会的・文化的メッセージのあるポスターを展示するものとなっている。今回は、スマートフォンやタブレットの急速な普及やサービスの拡大に伴って発生している不正ログイン・不正送金などの被害について、若い世代の人が多く訪れる原宿駅で開催される同展を通じ、若い世代の理解促進を目指すという。17面ある展示スペースのボードのうち、タイトルボードなど2面を除く15面で具体的なメッセージを発信する。メッセージは各1コマ(面)完結で、高校生の男女による計15シーンの恋愛ストーリー風のマンガで構成。各シーンにおいて、パスワードは「長く」「複雑に」「使い回さない」といったパスワードを強化するメッセージを伝える内容となっている。なお、文化展終了後~10月8日には、1面を除く16面が原宿駅の外側に向けて掲示されるとのこと。
2015年04月03日独立行政法人 情報処理推進機構(IPA)は、4月3日から7日までの期間、原宿駅の線路沿いの大型看板17面を使い、パスワードの大切さをテーマとするポスターを展示する。ポスターは男女の恋愛ストーリー風のマンガで構成され、計15シーンで完結する。今回の取り組みは、JR原宿駅で開催する第44回「原宿ファッションジョイボード文化展」とのコラボレーション。10代を中心とした若い世代が多数訪れる原宿駅を舞台とした同文化展に出展することで、若い世代がネットサービスでの不正ログイン被害に遭うことを防ぐねらいだ。ポスターは、文化展が終了する7日以降も、2015年10月8日までの約半年間原宿駅の外側に向けて掲示される。また、4月7日から4月20日の間、原宿竹下通りでもボードで使用したマンガを描いた横断幕や垂れ幕を掲出するほか、IPAサイト内に特設ページを開設し、啓蒙の相乗効果を図っていく。
2015年04月03日情報処理推進機構(IPA)は3日から9日までの7日間、パスワードの強化を訴求することを目的とした、“胸キュン”漫画ポスターをJR原宿駅に展示する。「お前にそんな単純なパスワードは似合わないよ」など、少女漫画風のポスターになっており、若年層をターゲットにメッセージを伝える。同ポスターは、3日から9日までJR原宿駅で開催する「原宿ファッションジョイボード文化展」の一環として、日本交通文化協会と共催し展示する。IPAは、不正ログイン防止に向けてのパスワードに対する意識が、他の世代に比べ10代では極端に低い傾向にあると分析。若年層が多数訪れる原宿駅を舞台とした同文化展に出展し、そうした世代へパスワード強化の重要性を訴えていく。ポスターの内容は、1コマ完結の漫画風で「お前にそんな単純なパスワードはにあわないよ」「ドキッ」や、「パスワードのことちゃんと見直すね」「うんっ」など、高校生の男女による15の“胸キュン”シーンが描かれている。原宿駅の展示のほか、特設サイトにて3日から全ポスターが閲覧できる。(記事提供: AndroWire編集部)
2015年04月02日みずほ銀行は15日、インターネットバンキング「みずほダイレクト」にて、カード型のワンタイムパスワード生成機「ワンタイムパスワードカード」の取り扱いを開始した。発行手数料や利用料は無料で、再発行には1,080円の手数料が必要。「みずほダイレクト」もしくはみずほ銀行店頭から申し込みできる。内閣サイバーセキュリティセンターが2月に開催した記者会見では、サイバー攻撃による2014年の不正送金被害は、2013年の14億円から約2倍となる29億円へと増加し、深刻な被害をもたらしている。みずほ銀行は今後、手口が高度化すると予想。個人向けユーザーへのサービスとしては邦銀初とする「トランザクション認証」機能を追加した「ワンタイムパスワードカード」を導入する。「ワンタイムパスワードカード」では、「みずほダイレクトご利用カード」に記載の第2暗証番号に替えて、1 回限りで使い捨てとなるワンタイムパスワードを表示(発行)する。「トランザクション認証機能」は、事前登録した振込先以外の振込時に利用できる、セキュリティサービスのひとつ。ワンタイムパスワードに振込先口座番号等の情報を持たせることができ、不正に振込先を書き換えるといった新たな手口が発生した場合でも、被害を防止できることが特徴。また、三菱東京UFJ銀行でも同日、カード型端末「ワンタイムパスワードカード」の提供を開始した。申し込みは無料で、紛失・盗難時の再発行には1,080円の手数料が必要。同行が従来より提供していたワンタイムパスワード生成用のスマートフォンアプリに加え、同カードを利用することでも、振込などの取引時に確認番号表の代わりにワンタイムパスワードが利用できる。モバイル向けアプリ「ワンタイムパスワードアプリ」の推奨環境は、Android 2.3 / 4.0 / 4.1 / 4.2 / 4.3 / 4.4、iOS 6以降。アプリおよびカード型端末は、PC版の三菱東京UFJ銀行で申し込み後、設定用ハガキが届き、その後アプリのダウンロードや端末をセットアップすることで利用可能となる。
2015年03月17日三菱東京UFJ銀行は15日、三菱東京UFJダイレクトワンタイムパスワードカードの提供を開始した。ワンタイムパスワードとは、一定時間ごとに自動的に新しいパスワードに変更され、しかも、1度しか使うことが出来ないパスワードのこと。一般的な固定パスワードに比べて、不正な送金被害などにあうリスクを低減させることができるという。○ワンタイムパスワードの特徴顧客によるワンタイムパスワードの変更作業は必要ないワンタイムパスワードは、一定時間が経過するごとに自動的に変更され、第三者に詐取されてしまった場合にも不正な送金被害等にあうリスクを低減する同じワンタイムパスワードは利用することができない取引に使用したり、一定時間が経過したワンタイムパスワードは、再度利用することができないことから、よりセキュリティの高いパスワードとなるワンタイムパスワードはすべて無料で利用できるワンタイムパスワードカードの紛失・盗難時の再発行には所定の手数料(1,080円(消費税込)) がかかる○ワンタイムパスワードの種類三菱東京UFJダイレクトでは、状況に応じて2種類のワンタイムパスワードを利用する。確認番号表にかわって顧客の預金を守るワンタイムパスワード(アプリまたはカードによるワンタイムパスワード)振込などの取引では、確認番号表のかわりとしてワンタイムパスワードを利用する。契約カードに記載の固定の確認番号表と異なり、ワンタイムパスワードは取引に使用したり、一定時間経過すると自動的に変更されるため、誤ってフィッシングサイトなどで詐取された場合にも悪用されるリスクを低減できる。利用方法:専用のスマートフォンアプリやカード型の専用端末でワンタイムパスワードを取引に利用できる。インターネットバンキングにログインのうえ、申し込み手続きをする不正なアクセスから守るワンタイムパスワード普段と異なる環境からインターネットバンキングにアクセスしていると同行が判定した場合、届出のEメールアドレスにワンタイムパスワードを通知する。
2015年03月17日みずほ銀行は16日、「みずほダイレクト[インターネット/モバイルバンキング]」をより安心して利用できるよう、カード型のワンタイムパスワード生成機「ワンタイムパスワードカード」の取り扱いを15日から新たに開始したと発表した。昨今、インターネットバンキングの取引画面に偽画面を表示するなどにより、顧客の暗証番号等の大切な情報を詐取し、不正に送金するといった事例が確認されている。これを踏まえ、同行では顧客の大切な預金を守るべく、メール方式ワンタイムパスワードの導入や、24時間365日体制で不正取引を監視するなどのセキュリティ強化に取り組んできたという。今後、インターネットバンキングを悪用した不正送金の手口はますます高度化することが懸念されるため、個人の顧客向けサービスとしては邦銀初という「トランザクション認証」機能を追加した「ワンタイムパスワードカード」を導入することで、更なるセキュリティ強化を図るとしている。「トランザクション認証機能」とは、最も強固なセキュリティ対策の一つで、事前に登録した先以外への振込時に利用できる。従来型のトークン方式ワンタイムパスワードはボタンを押すごとにワンタイムパスワードを発行していたが、「トランザクション認証機能」では、ワンタイムパスワードに振込先口座番号等の情報を持たせることができる。これにより、不正に振込先を書き換えるといった新たな手口が発生した場合でも、被害を防止することが可能だという。なお、「ワンタイムパスワードカード」の新規発行手数料および利用料は無料で、みずほダイレクト[インターネットバンキング]にて、簡単に申込みできる。同行は、今後とも顧客に、「安心」かつ「ベンリ」にみずほダイレクトを利用してもらえるよう、更なるセキュリティ強化やサービス向上に取り組んでいくとしている。
2015年03月17日増え続けるIDとパスワード、ちゃんと管理できていますか? 今回は安全・効率的な管理方法を中心に、パスワード作成のアイデアなどをご紹介します。 ●パスワードの使い回しは今すぐやめよう!SNS、通販、ネットバンキング…利用するインターネットサービスが増えるたび、ID・パスワードの管理が面倒になります。それを理由に、ひとつのID・パスワードを使いまわしている人も多いのではないでしょうか。どれか1つでも解読されてしまうと、第三者が簡単に複数サイトにログインできてしまい、預金やポイント、マイレージなどを盗まれる危険性があります。知らないうちにパスワードを変更され、本人がログインできず発覚が遅れる…というケースも。最近ではFacebookのアカウントを狙った犯罪も増えていることから、せめて「SNSや無料動画サイトなどの娯楽系」と「銀行やクレジットなどの金融系」などは一緒にしないこと。できれば全てのサービス・サイトごとに異なるパスワードを設定し、管理するのが理想です。●どうやって管理する?! 代表的な3つの方法たくさんのパスワードを頭で記憶するには限界があります。 IPA(独立行政法人情報処理推進機構)の「パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ」 では、以下3つの管理方法が推奨されています。1:紙のメモID・パスワードのリストを紙にメモ。IDとパスワードを別々の紙に分けて管理するとより安全です。ネットワーク経由で盗まれる危険はないものの、紙自体の紛失・盗難の恐れがあるため、第三者が見てもわからないように記載する工夫を。2:電子ファイル(パスワード付き)ID・パスワードのリストを表計算ソフトやテキスト編集ソフトなどで「パスワード付きの電子ファイル」として保存。パスワードはファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。3:パスワード管理ツールパスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、ID・パスワードを保存。最近ではインターネットサービスの認証まで自動で行うツールもあります。こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がありません。「紙のメモ」はアナログ手法ですが、手軽で確実な方法。パスワード付の電子ファイルはデータのバックアップなどが必要ですが、これも簡単ですね。管理ツールは 「1Password」 や 「Passwords Lite」 などの人気アプリを使えばスマホでも便利に管理できますよ。●「名前」「誕生日」は安直すぎ! パスワード設定のひと工夫男性は趣味にちなんだ単語を使ってパスワード設定する傾向があり、女性は名前や生年月日を使うことが多いのだとか。でも、「名前や生年月日」は公表されている情報で推測されやすいため、使わない方が無難です。特に4ケタの入力設定を生年月日にしている人は要注意! とはいえ、パスワードをいくつも考えるのは面倒。そこでおすすめなのが、メインのパスワードをひとつ決め、それをアレンジして使うという手法です。<例:メインを「harunatsuakifuyu」とした場合>・アンダーバーなどの記号を加え、さらに位置を変える「haru_natsuakifuyu」「harunatsu_akifuyu」・利用するサービス、サイトの名前を加える「harunatsuakifuyuexcite」(エキサイトの場合)これならいくつもパスワードを考える必要がなく、アレンジに規則性をもたせることである程度なら記憶も可能になりますよ。個人情報の流出トラブルやサイバー犯罪は後を絶たず、大手企業のサービスでも安心できません。運悪くパスワードを盗まれる被害にあった場合、利用者の自己責任となるケースもあります。後悔しないよう、今すぐしっかり自衛しましょう。
2015年03月02日三菱東京UFJ銀行は23日、個人向けインターネットバンキングである「三菱東京UFJダイレクト」をより安心・安全に利用してもらえるよう、ワンタイムパスワードを表示する携帯可能なカード型パスワード生成機の提供を3月15日より開始すると発表した。昨今、同行を装った偽メールや偽画面により、第三者が顧客のパスワードなどを詐取し、不正に送金を行う事件が断続的に発生しているという。三菱東京UFJ 銀行では、不正送金被害の抑制を目的に、これまで、ウィルス対策ソフト「Rapport(ラポート)」の提供や、利用限度額変更手続きの見直し、テレビCM・新聞広告等による注意喚起、ワンタイムパスワードを生成するスマートフォンアプリ「ワンタイムパスワードアプリ」やコンピュータウィルス感染による被害を低減する「クラウドダイレクト」を提供するなど、インターネットバンキングのセキュリティ対策を進めてきた。そしてこのたび、スマートフォンを持っていない顧客にも、ワンタイムパスワードで取引きできるように、「ワンタイムパスワードカード」の提供を開始し、セキュリティのさらなる強化を図るという。三菱東京UFJ 銀行では、今後も顧客に安心・安全にインターネットバンキングを利用してもらうため、より一層セキュリティの強化やサービスの向上に努めていくとしている。
2015年02月25日ソリトンシステムズは、認証時に、指定回数以上パスワード入力を間違うとアカウントをロックする機能をはじめ、運用管理ポリシーを強化したネットワーク認証サーバアプライアンスの新版「NetAttest EPS V4.8」を、3月5日より販売すると発表した。NetAttest EPSは、ワイヤレスやリモート接続機器と連携し、企業ネットワークへ接続するユーザーや端末が正規のものか否かを判断し、 不正なアクセスを防止するネットワーク認証アプライアンス。新バージョンでは、ログインの際に、ユーザーID ・パスワードの入力を、予め設定した回数以上連続して間違えると、そのアカウントを凍結する「パスワード連続失敗によるアカウントロック機能」や、定期的にパスワード変更を要求する「パスワード有効期限機能」など "なりすまし"の被害を防止する機能のほか、ユーザー ID毎に、最後に認証に成功した日時を記録する「ユーザーの最終認証成功日時の記録機能」などを追加している。中規模向けモデルは89万円からで、大規模向けモデルおよび小規模向けモデルはオープン。
2015年02月20日ディー・ディー・エスは9日、20代から50代の男女400名を対象に行った「パスワードに関するインターネット調査」の結果を公開した。それによると、サービスやアプリにログインする際ID/パスワードがわからなくなった経験がある人は93.9%に上り、複数のサービスやアプリでID/パスワードを使い回している人は79.9%に上ったという。ID/パスワードをどのように管理しているか聞くと、「記憶している」が60.2%で最も多かった。また、管理しているID/パスワードの数については、最も多かったのが43.0%の人が回答した「6個以上」だった。そのほか、ID/パスワードの使い回しについても調査。複数のサービスやアプリにID/パスワードを使い回している人は79.9%と多く、その理由については、「複数のID/パスワードを覚えられないから」(67.5%)が最も多く、「それぞれのサイトで異なるID/パスワードを考えるのが面倒、思いつかないから」(62.5%)と続いた。同社は、ID/パスワードの使い回しは、不正ログインや乗っ取りの被害を受ける可能性があると指摘。実際に、5.8%の人がSNS(LINE、Twitter、Facebookなど)でアカウントを乗っ取られた経験があることもわかった。(記事提供: AndroWire編集部)
2015年02月10日ディー・ディー・エスは2月10日、「パスワード難民調査」を実施、その結果を発表した。対象は20代~50代の男女400名で、マクロミルの登録モニターを活用したインターネット調査で行われた。調査によると、自分自身のID/パスワードがわからなくなった事がある経験者は93.9%にのぼった。現在のパスワード管理の実態についても調査したところ「記憶している」が60.2%と過半数だった。また、自分の身の回りで一体いくつのパスワードを管理しているのか調査したところ、約40%の人が1人につき平均6個以上ものパスワードを管理していることが明らかになった。SNSで乗っ取り被害にあったことがあるユーザーは5.8%で、情報社会がどんどん便利になっていく一方で、IDとパスワードによる情報管理への不安も高まっている。現状、ある特定のIDやパスワードを使い回している人は、約80%に達する。理由としては「異なるパスワードを考えるのが面倒」「複数のIDやパスワードを覚えられないから」が大半を占めた。特定のIDやパスワードの使い回しは、今後も非常にリスクを伴うため、今後、生体認証で一括管理し、安全性が担保されるようになったとした場合、約60%の人が使ってみたいと回答した。
2015年02月10日パスワード管理ソフトメーカー米SplashDataが「2014年版、危ないパスワード」を公開した。2014年にインターネット上に流出した330万以上のパスワードを元に、使われている順にランキングを作成した。よく使われているパスワードほど攻撃者にとって破りやすく、そのため「危ないパスワード (Worst Passwords)」ランキングとしている。2014年の1位は「123456」。SplashDataのランキングは4年目だが、4回とも「123456」と、2014年は2位だった「password」がトップ2だった。「123456」のように数字を並べただけのパスワードが使われる傾向も変わらず、2014年はトップ25に9つもランクインした。トップ25入りはしていないが、数字とアルファベットを組み合わせていても「1qaz2wsx」のようにキーボードのキーを順番に叩くパスワードはよく使われている。単純なキー配列パターンも危険度が高いそうだ。他にもSplashDataはパスワードに避けるべき単語やフレーズとして、好きなスポーツ、スポーツチーム、有名なスポーツ選手、車のブランド、映画名、一般的な名前、ののしり言葉、趣味、誕生年などを挙げている。2014年は「baseball」(8位)「football」(10位)、「dragon」(9位)が新たにトップ10に入った。ランキングだけで判断すると、依然として非常にシンプルなパスワードが使われているが、危機意識を持つ人が年々増加しており、シンプルなパスワードの使用は減少しているという。2014年に危ないパスワードのトップ25が全体に占める割合は約2.2%に縮小した。123456 ( - )password ( - )12345 (↑17)12345678 (↓1)qwerty (↓1)234567890 ( - )1234 (↑9)baseball (新)dragon (新)football (新)
2015年01月21日アイ・オー・データ機器は14日、自動的かつ強制的にパスワードロックをかけるUSB 3.0メモリ「EU3-PW」シリーズを発表した。容量が4GBと8GBの2モデルを用意し、1月下旬から発売する。価格はオープン、店頭予想価格(税別)は4GBモデルが2,280円、8GBモデルが3,480円。本体内のデータ保存領域を、ユーザーが設定したパスワードを使って強制的にロックするUSB 3.0メモリ。パスワードロック機能を無効化すれば、一般的なUSBメモリとして利用できる。パスワードロックが機能している場合、「自動接続ツール」を有効にすると、本製品をPCに接続したときに自動でパスワード入力画面を表示。パスワード入力を100回連続で間違えると、本製品の初期化が必要となる。ただし「自動ログイン」として登録したPCは、パスワード入力なしで本製品にアクセス可能だ。本体サイズは約23.5×D58.6×H8mm、重量は約10g。対応OSはWindows 7 / 8 / 8.1で、ファイル暗号化ソフトウェア「QuickSecureAES」を無償でダウンロード可能。また、ノベルティグッズ向けとして、USBメモリのボディに名入れをしたり、指定のデータを格納したうえでまとめて生産するといったサービスも提供している。
2015年01月14日パスロジは10月24日、新タイプのパスワード生成・管理アプリ「PassClip」のiOS版の提供を開始したと発表した。同アプリは、ユニークなパスワード表示方式により、不規則な文字列のパスワードを生成し、2回のタップでパスワードが確認できる利便性と、パスワードの漏洩を防ぐ安全性を実現。これまでのパスワード管理ツールでは必須だった「起動時のマスターパスワード入力」を必要としない。パスワード表示画面では、5×5=25個のマス目の中に、計50個の文字(1マスに2文字ずつ)を不規則に表示。ユーザはあらかじめ、25マスの中から任意の4マスの場所と、その順序(パターン)を設定。パスワード表示画面では、「パターン」の順番にマス内の文字をつないでいくことで「パスワード」が判別できる仕組みになっている。なお、この仕組みは現在特許出願中だ。また、ローマ字で生成したパスワードを「ひらがな」で表示することもでき、アルファベットと異なり暗唱しやすいので、入力時に記憶しやすい。パスロジでは、提供開始後もアップデートを随時実施し、ユーザの利便性や安全性を高める機能を追加予定で、Android版も11月中の提供を予定している。
2014年10月27日サテライトオフィスは、Google Apps向けに、英語と数字の組み合わせをランダムに発行する事で、ワンタイムパスワード認証機能を開発し、無償公開したと発表した。トークンなどハードウェアは必要ない。同社は、Google Apps導入支援の中で、Google Appsで利用可能な、組織カレンダー、組織アドレス帳、ワークフロー機能、掲示板/回覧板機能、行先予定/伝言メモ機能等を無償提供しているが、今回は、Google Apps導入企業で、特にニーズの多かったパスワード強化機能を公開した。同社が新たに開発したワンタイムパスワード認証機能は、英語と数字をランダムに発行し、ログイン毎にワンタイムなパスワードを入力する事で、セキュアなログイン制御を実施する。ブラウザにパスワードが保存されている場合や、不用意なパスワード漏洩、ウィルスによるパスワード遠隔取得等の対策に効果がある。利用条件は、Google Apps for Work、Google Apps for Educationを利用している企業。
2014年10月22日米Dropboxは現地13日、700万件に達するDropboxのユーザーIDとパスワードが流出したとする報道について、同社から漏れたものではないとする公式声明を公式ブログ上で公開した。同社公式ブログによると、Droboxがハッキング被害にあったとする記事は真実ではないと明言。漏れたのは同社とは関係のないサービスの使いまわしのユーザーIDとパスワードであると主張している。同社では、不正ログインの疑いがある場合の手段を講じており、パスワードリセットを自動的に行っているという。このため同社ではパスワードの使い回しを行わないことを強く勧めるとともに、セキュリティ強化のために、2段階認証を利用するように求めている。流出したとされる700万件のユーザーIDとパスワードは、その一部が何者かによってネット上に公開。仮想通貨のBitcoinと引き換えにさらに多くのユーザーIDとパスワードを公開するとの脅しをかけたと報じられている。(記事提供: AndroWire編集部)
2014年10月14日全日本空輸(ANA)は19日、同社が提供するマイレージプログラム「ANAマイレージクラブ」会員向けに、新たに8桁以上16桁以下のパスワード「Webパスワード」を導入すると発表した。実装予定は2014年9月4日午前5時から。今回の導入はセキュリティ強化の一環。ANAの公式サイトでは2014年3月に、ANAマイレージクラブの交換サービスなどを狙った不正ログインが行われ、第三者にマイルが不正利用される問題が発生していた。また、数字4桁となる現行のパスワード(AMCパスワード)のセキュリティ強度に、ユーザーから不安の声も上がっていた。新たに導入するWebパスワードは、任意の英文字(大小)と数字で構成する8桁以上16桁の下のパスワード。実装は2014年9月4日午前5時からだが、2014年12月3日までは、移行期間として現行の数字4桁のパスワードも利用できる。2014年12月4日以降は「Webパスワード」しか利用できない。現行のパスワードは、Webパスワード実装以降も、ANA予約センターやANAマイレージクラブ・サービスセンターへの問い合わせ、空港の自動チェックイン機などで使用する。ANAはWebパスワードの導入に加え、マイレージ特典交換時のeメール認証機能などの対応により、セキュリティの向上を図る。なお、ANAマイレージクラブへの不正ログインが行われた3月10日から停止中となっている、「iTunesギフトコードへの交換サービス」について、ANAは2014年12月上旬の再開を予定していると合わせて発表した。
2014年08月19日独立行政法人情報処理推進機構(IPA)は5日、流出した個人のID・パスワードがサービスへの不正アクセスに利用される「パスワードリスト型攻撃」の増加をうけ、オンライン本人認証方式の実態調査を行い、調査結果を公開した。今回の調査では、サービス利用者(個人)側とサービス事業者側の両方について、オンライン本人認証の実態調査を実施。安全なオンライン認証を実現する上で利用者側の意識と実態を調査し、優先すべき対策項目がまとめられている。まず、利用者における「パスワードを作成する際、安全性を高めるために必要だと思う事項」(複数回答可)は、「英字と数字、記号が組み合わさった文字列」が74.2%と最多。次いで「名前や誕生日など、推測されやすい文字列を使わない」が70.3%、「8文字以上であること」が67.2%となった。一方で、金銭に関連したサービスを利用する際に実際に設定しているパスワードを尋ねた質問(複数回答可)では、「ランダムな英数字の組み合わせ」が26.8%と最多だったものの、次いで「自身・家族の名前にちなんだもの」が19%、「自身・家族の誕生日にちなんだもの」が17.2%となり、多くのユーザーで安全なパスワードの知識はあっても、実際には名前や誕生日にちなんだパスワードを設定しており、セキュリティレベルは低いという結果となった。また、セキュリティ確保のためのパスワード文字数の許容範囲(複数回答可)については、「8文字以上のパスワードの設定が必要」と回答した人が71.8%と最多。次いで「英字と数字、記号が組み合わさった文字列の設定」が49.1%、「IDをメールアドレス以外に設定する」が33.4%となるが、「12文字以上のパスワードの設定が必要」は24.5%と低く、利用者が許容できるパスワード文字数は8桁以上12桁未満と想定される結果となった。このほか、「複数のパスワード設定が必要」は14.6%、「トークンや使い捨てパスワードなど他の認証が必要」は14.2%となり、パスワードに加えての他要素認証への許容度は低いものとなった。調査対象が20代から60代の2,060名(男女別)。調査期間は2014年4月4日~7日。調査方法はモニター会社によるアンケート調査で、調査項目は個人がサービスサイトを利用する際に登録する情報、個人がサービスサイトを利用する際に使用する認証方式の種類、ID・パスワードを記憶するためのツールの利用状況など。
2014年08月05日八千代銀行は10日、八千代ネットバンキングサービスに、より安心かつ快適にネットバンキングを利用するためのセキュリティ強化機能の一つである「ワンタイムパスワード」を導入すると共に、昨今利用者が増加しているスマートフォン(多機能携帯電話)における専用画面の提供を20日から開始すると発表した。対象者八千代ネットバンキングを利用する全ての人が対象。利用の是非は顧客の任意だが、不正取引防止のためワンタイムパスワードの利用を薦めるサービスの概要ワンタイムパスワードとは、1回限りで無効となる使い捨てのパスワードで、第三者によるパスワード不正取得による悪用などの防止を図る。顧客の携帯電話またはスマートフォン上のソフトウェア(トークンアプリ)でパスワードを生成・表示する顧客の手続き八千代ネットバンキングにログインし、「ワンタイムパスワード申請メニュー」で、「トークン発行処理」(または「トークンダウンロード」)を行うことにより、手続きを進めることができる。書面等の提出は不要サービス概要スマートフォン(動作確認済みのiOS又はAndroid搭載端末に限定)を用いて、八千代ネットバンキングにアクセスした際、スマートフォンに対応した取引画面を表示対象となる業務ログイン(ログイン、ログインID取得、サービス開始登録、など残高照会入出金明細照会振込・振替(都度指定方式、口座選択方式)ワンタイムパスワード申請(トークン利用解除など)なお、八千代ネットバンキングは、インターネット投資信託とは別のシステムとなっており、このたび導入するワンタイムパスワード及びスマートフォン専用画面は、インターネット投資信託では利用できない。【拡大画像を含む完全版はこちら】
2012年08月14日北陸銀行は22日、インターネットバンキング「ほくぎんダイレクトA」におけるワンタイムパスワードサービスについて、スマートフォンでも提供を開始したと発表した。ワンタイムパスワードとは、1回だけ有効な使い捨てパスワード。パスワードを1分ごとに更新するため、パスワードを推測されることがなく、フィッシング、スパイウェアなどによるID・パスワード情報の不正取得を防ぐことができる。同サービスでは、顧客の携帯電話またはスマートフォン上のソフトウェア(トークンアプリ)によりパスワードを生成・表示する。パスワード生成機などの専用装置は不要。なお、スマートフォンから利用する場合は、「ほくぎんダイレクトA」でのトークン発行処理、ワンタイムパスワードアプリの初期設定、ワンタイムパスワード利用開始処理の3ステップの手続きが必要となっている。iPhoneおよびAndroid OS搭載端末で利用可能。利用手数料は無料だが、通信料・接続料などは顧客負担となる。詳細は同社Webサイトまで。【拡大画像を含む完全版はこちら】
2012年03月23日