総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めました。
3月1日、総務省の「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記述がなくなりました。
今までは、パスワードの定期変更は不正を防ぐ有効な手段とされてきました。しかし、サイバー攻撃が盛んになるなか、米国などでは16年ごろから「定期変更をしない方がいい」という意見が高まってきました。
日本でも同年12月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティ(NISC)が「必要なし」とする見解を示し、これを受けて総務省もサイトを変更しました。
ハッカーなどは他人のパスワードを把握しようと、文字の組み合わせを全て試す「総当たり攻撃」や、よく使われる語句を手当たり次第に試す「辞書攻撃」などを仕掛けてきます。
頻繁に変更を求められると、「少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由です。
例えば、「Suzuki195601」といった名字と年月、誕生日などを組み合わせて、末尾の数字だけを毎月「02」「03」と変更する方法です。
さらに多数の機器やサービスで定期変更が面倒になり、同じパスワードを使い回してしまうことで、芋づる式に個人情報などを盗まれるリスクも高まります。
内閣官房の内閣サイバーセキュリティセンターは安全なパスワードを設定するには「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」としています。
これまでの呼びかけは何だったのか、と思いますが、皆様もご注意下さい。
弊社へのお問い合わせは03-3868-2801までお気軽にどうぞ!
