全てのインターネットサービスで異なるパスワードを……IPAが具体的な手順を指南

　情報処理推進機構（IPA）は1日、2013年8月の呼びかけ「全てのインターネットサービスで異なるパスワードを！～多くのパスワードを安全に管理するための具体策～」を発表した。ここ最近発生している「パスワードリスト攻撃」への対策となるものだ。

　「パスワードリスト攻撃」とは、何らかの方法で事前に入手したID／パスワードのリストを流用し、機械的な総当たりで、ネットサービスやウェブサイトにログインを試みる攻撃だ。同じパスワードを使い回す利用者は多く、あるサービスでもしもログインできた場合、他社のサービスでも同じID／パスワードでログインできる可能性が高い。こうして、さまざまなサービスで、総当たりの攻撃を繰り返し、最終的には金銭などを詐取しようとする。

　IPAでは、「全てのインターネットサービスで異なるパスワードを設定すること」が基本的な対策であるとしたうえで、具体的な方法として、「自分が利用するID／パスワードを、リスト化して保持」「サービスの重要度によっては、ID／パスワードのリストを別々のファイルに分けて保持」という2つの方法を紹介している。

　例として、表計算ソフトでID／パスワードのリストを作成し、パスワード付きでファイル保存するなど、「パスワード付きの電子ファイル」として保持することが推奨されている。また、インターネットバンキングのIDとパスワードなど、金銭に絡む重要なものについては、IDとパスワードを切り離して、別々のファイルで保持することが推奨されている。