HOMEディーシーエヌ コラム



2013/06/11 脆弱性の存在

5月は不正アクセスによる事件が多発した。
これほど短期間に集中したケースは筆者の記憶にはない。
6月に入っても玩具通販サイトで不正アクセスによる攻撃により
最大3,909人はクレジットカード情報が閲覧された可能性があるとの発表もあり
いつ収束に向かうのか余談を許さない状況が続いている。
ウェブサイトを運営する企業の責任を問われることは言うまでもないが
一方で、同一パスワードを使いまわしている利用者の多いことが
不正ログイン被害の一因となっているのが気がかりである。

2月にはTwitterで、3月にはEvernoteでの不正アクセス事件があったが
Twitter社はパスワードについて、アルファベットの大文字、小文字、数字、記号などを
混ぜた10文字以上のパスワードを利用し、使い回しは避けるよう求めたとある。
またEvernoteでは世界の全利用者約5,000万人のパスワードをリセットしたと発表した。

IPAの「2013年版10大脅威」によれば
7割の利用者が3種類以下のパスワードを使いまわしているとの統計もあり
複数のサイトで同時多発的に被害が発生する可能性も否めない。
前にも書いたが一度流出した情報は追跡も削除も困難であり
最終的にまだどこかで個人情報に紐付いて集約される可能性が高い。
できることはパスワードの変更と強度アップとなるが
すでに8桁程度では心もとないというのが実感で
パスワードによる対応もそろそろ限界なのかも知れない。
さらに更新頻度や文字列、桁数を上げることによる手間と効率低下は
多くの方が実感しているのではないかと思う。

ここ数年の動向として“脆弱性”が取り沙汰されることが多いが
その多くはクライアントソフトウェアやウェブアプリケーションである。
既知の脆弱性を悪用したものが多いとの報告もあり
脆弱性対策もかなり浸透してきているのでは思っていたが
今年の不正アクセス事件を見るとそうでもないようだ。
すでに脆弱性対策が必須項目となった昨今では
仮に未対策が原因だった場合は企業の大きな過失であり
損害賠償支払も止む無しというのが一般的ではないだろうか。
金銭的被害が発生していないから謝罪で済ませるというは
問題の本質を取り違えている印象がある。

また脆弱性はソフトウェアやハードウェアだけの問題ではない。
“人”にも脆弱性が存在する。
操作ミスやヒューマンエラーという言葉が適切かどうかは別としても
人はミスやエラーをするもので、かつ忘れやすい。
一過性のインプットだけでスキルやリテラシーを維持することは困難である。
反復継続することが最低限の脆弱性対策ではないかと考える。



このページのトップに戻る