ここまで実際に発生したセキュリティインシデントと、被害企業がいかにそれに対応してきたかを見てきた。ここからは、最近のセキュリティインシデントの状況について解説する。

 特に目立つのが、不正アクセスの事例だ。表3-1には、2013年後半に明らかになった主な不正アクセスの事例を掲載した。中でも多いのがリスト攻撃による不正アクセスだ。

急増した不正アクセス

表3-1●2013年後半に明らかになった情報流出を伴う主な不正アクセス事例
[画像のクリックで拡大表示]

 リスト攻撃とは、どこかのサービスで実際に利用されたIDとパスワードの組み合わせのリストをあらかじめ入手し、そのリストに基づいて一気に大量のアカウントのログインを試す攻撃だ。ユーザーのパスワード使い回しを悪用し、攻撃につなげる手口である。

 多くのサイトがIDとパスワードを使ってユーザーを認証しているが、1人で記憶できるサイトの数には限度がある(図3-1)。パスワードを利用するサイト数が5個以上あるユーザーが62.6%を占めるのに、2~3組までしかIDとパスワードの組み合わせを記憶できないというユーザーが70%を占める。

 また、2013年11月に公表された米アドビシステムズから漏れたパスワードの上位100件を見ると、最も多かったパスワードは「123456」。続いて「123456789」「password」など、楽に覚えるために簡略化したものが多い。パスワードを記憶することの困難さを示しているといえる。

図3-1●通常使うサイト数に比べ、覚えられるパスワードの種類は少ない
Webアンケートで300人を対象に調査した結果。個々のユーザーが利用するパスワードが必要なサイト数5~19個で半数を超える。一方で覚えておけるIDとパスワードの組み合わせは3組までが70%を占める。必然的に、複数サイトでID/パスワードを流用するケースが多数発生している。シマンテックが2013年9月19~20日に実施した調査から。
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。