フィッシング対策協議会が、インターネットサービスを提供している事業者に対して今年2月に行った認証方法に関するアンケート調査の結果が発表になりました。

>>フィッシング対策協議会「インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果(速報)を公開」

匿名によるアンケートで、サンプル数も308名と多いため、かなり現時点での実情に近い数字になっているのでは、と思われます。
今回はこのアンケート結果を見ていきたいと思います。

1. 個人認証の方式はIDとパスワードのみが77%

 多要素認証を導入しているという回答も20%あったものの、いまだにIDと単純パスワードだけの認証が大半ということです。
「パスワードの使い回し」が問題提起されてきた今でもパスワード認証が利用されている理由には、やはり追加の機器が不要で、ユーザーを限定せず、利便性が高いことが挙げられます。サービス側にとってもコストが最小限で済みます。
過去から存続している、すでに多くのユーザーを抱えているネットサービスは、PCベースの時代に作られており、ユーザーがスマホ利用前提ではないので、SMSなどでの二要素認証も導入しづらいし、またPC端末だとハードウェア的にも生体認証にも対応してないという事情もあるでしょう。
多くの既存ユーザーに認証方式の変更に伴う手間をかけることも簡単にはいかない、というのもあるかもしれません。
いずれにしても、そう簡単に認証強化に動けない、という状況なのかもしれません。

2. パスワードの定期的な変更をユーザーに要求しているところが74%

以前パスクリ通信で下記の記事を掲載しました。
>パスクリ通信2017年9月15日号「パスワードは定期的に変更してはいけない?」

この記事にあるように、すでにパスワードの定期的な変更は、認証セキュリティにとってはほとんど意味がなく、むしろ弊害もあるということが、言われるようになっています。
しかし、こちらの調査によると、74%のサービスが、頻度の差はあっても、ユーザーに定期的に変更を要求しているとのこと。
これも上記の1と同じで、すでに過去に作られた認証システムを使い続けているサービスでは、セキュリティ対策の考え方が変わっても、実際のシステム側では追いついてきていない、ということを表しています。

3. パスワードをハッシュ化や暗号化していないところがまだ14%も

パスクリ通信でも以前取り上げたように、パスワードを平文のまま管理している事業者からのパスワードを含む個人情報の流出が相次いで起こり、問題化してきています。
>パスクリ通信 2019年2月8日号「相次ぐ事業者からの情報漏えい!パスワードの暗号化とハッシュ化とは?」

この記事では、いかに個人がしっかりパスワードを管理していても、事業者側から漏れてしまうことが十分にありえるので、せめて同じパスワードの使い回しはやめて、被害を最小限にしましょう、と書かせてもらいました。
フィッシング対策協議会のアンケートは、昨年から今年にかけて相次ぐ漏洩事件があったのと同時期に行われたもので、この時点では、まだ14%ものインターネットサービス事業者が、パスワードを平文のまま管理しているということです。

この状況の一因となっているのは、以前には広く行われていた「パスワードリマインダー」機能ではないでしょうか。皆さんもご存知だと思いますが、パスワードを忘れたユーザーに、ユーザー本人であることを確認した後にパスワード通知メールを送ったり、電話口でお知らせしたりする仕組みです。
このパスワードリマインダー、便利な反面、これを成立させるためには、ユーザーのパスワードを平文で管理していないといけないので、セキュリティの観点から現在では問題視されています。この代替策として、最近は「パスワードリセット」による仮パスワード発行と、再度のパスワード設定を行う方法が一般的になってきているのですが、昔に作られたシステムではまだこのパスワードリマインダー機能が残っていて、これがパスワード平文保存管理の元凶となっていると思われます。

今回のアンケートでは、すでにシステムができあがり、運用を継続しているネットサービスでは、認証の安全性強化が叫ばれている今日でも、なかなか強化のためのシステム変更などの対応が取りづらい、という現状が浮き彫りにされたと言ってもいいでしょう。

この状況はしばらく続くことと思われますので、事業者の認証強化を待つのではなく、各個人が、パスワードを破られにくいものに変更し、同じパスワードの使い回しもやめて、全部違うパスワードに変更していく、という自己防衛策をとることが賢明です。

自分がユーザー登録しているサービスがいくつもあると、それを全部違うパスワードにするのは、大変なことでしょう。全部違うと覚えるのが困難ですし・・・。
そのためにPass Clipのようなパスワード管理アプリの導入をご検討ください。アプリの力を借りてでも、パスワードの使い回しをやめていくようにしましょう。

>無料のパスワード管理アプリ「PassClip」オフィシャルサイトはこちら(iOS版、Android版があります)