ニュース
» 2019年12月11日 19時00分 公開

パスワードリスト攻撃に弱い:Microsoft、流出済みのパスワードを使用する4400万以上の同社ユーザーを発見

Microsoftは、パスワードを再利用することで被る「パスワードリスト攻撃」について、自社のサービスを利用しているユーザーを対象に調査した。その結果、4400万件ものアカウントがパスワードを再利用していたことが分かった。毎年同社が発表する「Microsoft Security Intelligence Report」を補完する内容だ。

[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Microsoftは2019年12月、パスワードの再利用について最新調査データを紹介し、パスワードリスト攻撃の危険について注意喚起を行った。年次セキュリティレポート「Microsoft Security Intelligence Report」を補完する対話型Webサイトを通じて発表したもの。

 Microsoft Security Intelligence Reportの最新版は、2018年1〜12月を対象期間とする「VOLUME 24」。Microsoftは同サイトで、2880万人のユーザーと6150万件のパスワードを用いたバージニア工科大学の研究チームによる2018年の調査を引用した。

 それによると、52%ものユーザーがパスワードの再利用(一部を変更した上での再利用を含む)をよく行っている。

 これはかなり危険だ。なぜなら一部のみを変更したパスワードの30%と、再利用された全てのパスワード(6150万件中の1600万件)を10回以内の推測で破ることができたからだ。

 Microsoftは、こうしたパスワードの再利用(一部変更を含む)を行うと、パスワードリスト攻撃で突破される恐れがあると警告する。パスワードリスト攻撃は侵害リプレイ(「資格情報スタッフィング」とも呼ばれる)の一種であり、次のような手法を採ったもの。他のWebサイトを侵害して得たり、インターネット経由で入手したりした「ユーザー名とパスワード」のペアを使って攻撃を試みる。総当たり攻撃(ブルートフォースアタック)などと比較して攻撃の成功確率が格段に高い。

Microsoftのユーザーはパスワードをどの程度使い回しているのか

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。