debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【13日目】パスワード定期的変更の理由を問い合わせた件

まえがき

13日目の記事では、パスワード文字長上限が設定されていたりパスワードの定期的変更を主張したりしている事業者に対して、その根拠を問い合わせるとどのような回答がされたかを書いてみる。

ロリポップ様

https://lolipop.jp/manual/startup/user-login/

悪意あるユーザーによる不正なログインを防ぐには、定期的にパスワードを変更することが有効です。ユーザー専用ページへログインして、定期的なパスワード変更を行うことにより、セキュリティアップにつながります。他人から推測されにくいパスワードを設定しましょう。

パスワードの変更は定期的に行うことをお勧めします。

などと書かれているのでその根拠を聞いてみた。以下はメールアカウントでの話だ。

定期的にパスワードを変更することでセキュリティアップする根拠は何ですか?

悪用を行う第三者は、様々なメールパスワードにてメールアカウントへのログイン試行を行う可能性がございます。

そのため常に同じメールパスワードを利用していたり他のサービスと同じパスワードや、分かりやすいパスワードを利用したりしている場合、第三者によってメールアカウントにログインされてしまうことがあります。

つきましてはメールパスワードに関しては定期的に変更し第三者が予測できないように対策を行う必要があります。

定期的とは、具体的にどのくらいの期間で変更すべきなのですか?

期間に関しては明確な基準はございませんが、半年や数ヶ月に一度、変更いただくだけでも効果はあるかと存じますのでお試しいただければ幸いでございます。

「定期的に変更しないと第三者に不正ログインされる」という説明と「期間は基準がない」との回答だが、全く説明になっていない。更に聞いてみる。

パスワードを(定期的に)変更する前と変更した後で、第三者にとって何が変わるのでしょうか。第三者は何のヒントも無しにどうやってパスワードを当てるのですか?御社のシステムでは一定期間経つとパスワードが漏洩する可能性があるということでしょうか。

期間については、半年や数ヶ月に一度変更したとして、効果があったかどうかどうやって調べるのですか?定期的な変更をお願いするのであれば、変更すべき期間とその根拠を示してもらえませんか。

ご質問の件につきまして、ご認識いただいておりますように、メールアカウントに対し総当たり的にログイン試行がされた場合、パスワードを変更していてもログインが成功する可能性がございます。この点につきまして、ご説明が不足しており申し訳ございません。

今一度内容を見直し修正について検討を進めさせていただきます。

また今後のサービス運営におきまして、今回のようにお客様へ不要にご混乱をお招きしたりお手数をおかけすることが無いよう、より適切なご案内に努め再発防止に尽くしてまいります。

貴重なお声、あたたかいお言葉をいただきありがとうございました。今後ともロリポップ!をよろしくお願い申し上げます。

逃げられた。しかしこんなことで「再発防止」という言葉が出てくるのか。この問い合わせは数年前のものだが未だに何も変わっていない。「尽くしてまいります」という言葉は嘘だったわけだ。

この程度の対応は序の口である。この世には有名サービスであってもトンチンカンな説明をする事業者が溢れかえっている。

ビックカメラ様

日経BPの記事では、2015年のビックカメラの仕様変更を報じている。このときパスワードの設定可能な文字数上限は12文字だった。

パスワード文字長の上限が12文字であることは、利用者にとって不都合ではないとお考えでしょうか。

8-12桁のパスワードは現状ではセキュリティ上問題がないという判断での設定でございます。以前は5月以前は6桁となっておりました。

パスワード文字長の上限を12文字と設けている理由は何ですか?

ご指摘の通り、理屈的にパスワードが長いほうがセキュリティ上有利とは存じますが、実運営やお客様の管理やご入力を考慮いたしますと長すぎましても、利便性や正確なご入力に問題が出る可能性が高くなり、12桁程度が適当と判断させていただいております。

「定期的にパスワードを変更することをおすすめします。」という理由は何でしょうか。定期的にパスワードを変更すると「なりすまし」をされる可能性が低下するのでしょうか。

当社では不正利用でのパスワードアタックの対策は実施しておりますが、万一を考慮すると他社様も同様かと存じますが、可能な限り頻繁に変更されることで、流出の危険性が相対的に確率的に低下致します。

「パスワードに設定できる文字数が長すぎると利便性に問題が出る」と言ってきた。このようなことをサービス提供者が勝手に判断してはいけない。この担当者はセキュリティをなめている。

それと定期的変更を推奨する根拠についてよくある回答が「他のサービスでも同様に推奨している」というものだ。他がやっているから自分らもやっているという。他者を真似するということはまあいいとしよう。だが、その効果や根拠を求められても説明できないというのは宜しくない。定期的変更で「流出の危険性が相対的に確率的に低下致します」という説明はいい加減だ。

念のためもう一度書いておくが、ビックカメラが特別に酷いわけではない。パスワードの定期的変更を謳っているようなサービスは、往々にしてこのようなレベルの回答を平気で返してくるのだ。

大阪大学の件

2017年12月13日、不正アクセスによる個人情報漏えいについて — 大阪大学という記事が掲載された。

このたび、本学において、不正アクセスにより、(中略)個人情報が漏えいした可能性があることが判明いたしました。本学としましては、利用者情報が漏えいしたことから、パスワードルールを今日こにしたうえで全ての利用者のパスワード変更を行うとともに、当該システムのセキュリティ対策を実施いたしました。

1.個人情報漏えいの概要について

本学教員(以下「A」という。)のIDとパスワード(以下「PW」という。)が不正に利用されたことが発端となりました。

平成29年5月18日〜7月4日の間に、AのIDを利用して教育用計算機システムに不正ログインされ、(以下略)

4.再発防止策について

本学ではこれまで、個人情報の適切な取り扱い及びID、PWの適正な管理について、毎年、各種研修、学内会議及び全学通知等により、周知をしているところですが、今回のような事案が発生したことを踏まえ、全学的に個人情報の適切な取り扱い及びID、PW の適正管理について、改めて周知徹底をはかるとともに、パスワードルールを強固にしたうえで全ての利用者のパスワード変更を実施いたしました。

更には、個人情報を含む学内の重要情報を守るため、外部のセキュリティ専門機関の支援を得ながら、セキュリティの強化に努めてまいります。

大阪大学では平成29年(2017年)の5月に不正アクセスされた経緯が見つかり、6月頃から調査や対策を行っていたらしく、8月には不正アクセスに対する再発防止策を実施したらしい。

詳しい経緯は「大阪大学への不正アクセスについてまとめてみた - piyolog」にまとめられている。

ところが、再発防止策がどうのこうのと語っておきながら、こんなことをしている。

http://web.auth.osaka-u.ac.jp/portal/ja/pwdpolicy.html

パスワードルール、及びパスワードの適切な管理のお願い

パスワードルール

大阪大学の全学IT認証基盤サービスで使用するパスワードのルールは以下のとおりです。

  • 1) 12文字以上、16文字以下であること

〔注意〕パスワード変更時、17文字以上入力しないでください。

なぜパスワードを16文字に制限するのか。他人に周知する前におかしな制約を課していることに気づくべきだ。

「再発防止」という言葉を安易に使うところは大抵まともな対策を実施できていない。こんなことで大丈夫か。

このくらいでいいか

長くなるのでこの辺にしておくが、同様にお粗末なことをしている組織は他にもたくさんある。次の記事では IPA に問い合わせた件でも書いてみようか。

今日のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

平日に記事を書くのは大変である。

これはウェブ届出フォーム Advent Calendar 2017 の記事です。

Next debiru's HINT 「ホームページいうな