プレスリリース全文 （PDF：313KB）

プレスリリース
2014 年 8 月 5 日
独立行政法人情報処理推進機構
「オンライン本人認証方式の実態調査」報告書を公開
～ “通販・物品購入”事業者のウェブサイトで「パスワード設定の最小桁数」が 8 桁未満の割合は
約 8 割と、利用者に安全なセキュリティ環境を提供できていない実態が明らかに ～
IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）セキュリティセンターは、8 月 5 日（火）、
パスワードリスト攻撃によるネットサービスの被害が深刻なことをうけ、安全なオンライン本人認証の
実現を目的とし、その実態を調査し、「オンライン本人認証方式の実態調査」報告書として公開しまし
た。
URL：http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html
2013 年以降、流出した個人のID・パスワード（以後、アカウント）が、不正アクセスに悪用される、
“パスワードリスト攻撃“が多発しています（*1）。IPAではこれを受け、インターネットサービスにおけ
る利用者（個人）とサービス事業者双方のオンライン本人認証（*2）の実態調査をおこない、安全なオン
ライン認証を実現する上での利用者側、サービス事業者側の対策を検討し、優先すべき対策項目を報告
書として取りまとめました。
調査結果から、利用者の安全なパスワードに対する認識は決して低くはないが、適切に設定してい
る割合は低い。また、サービス事業者が提供しているパスワード設定のセキュリティレベルは最低限の
安全条件を満たしているとは言い難い、という結果が判明しました。詳細は以下のとおりです。
（1） 安全なパスワードの知識はあっても実際の設定はおろそかな利用者
（報告書：P52 図 21、P53 図 22）
① サービス利用者のパスワードの設定条件に対する理解は「英字、数字、記号を組み合わせた
文字列であること」74.2%、
「名前や誕生日など、推測されやすい文字列を使わないこと」70.3%、
「文字数は 8 文字以上であること」67.2%、と約 7 割が正しい認識を持っている。
② 金銭に関連したサイト（*3）を利用する際に実際設定しているパスワードは「ランダムな英数字
の組み合わせ」26.8%と最多。
「名前にちなんだもの」19.0%、
「誕生日にちなんだもの」17.2%と推測されやすい文字列を
使用している割合は 2 割弱、安全であると認識されている「ランダムな英数字と記号の組み合
わせ」を設定している割合は 13.1%にすぎない。
（2） 利用者が金銭に関連したサイトでもパスワードを使い回しているのは、忘れてしまうから
（報告書：P56 図 25、P57 図 28）
① 複数の金銭に関連したサービスサイトで「同一のパスワードを利用している」割合は 25.4%。
金銭に関連したサービスであっても約 4 分の 1 がパスワードを使い回している。
② パスワードを使いまわしてしまう理由は「パスワードを忘れてしまうから」が最多で 64.1%、
（*1）
本報告書では公開情報をもとに 2013 年に発生した被害を調べ 20 社の不正アクセス期間、不正ログインの試行件数、成立件数、
成功率をまとめている。
（*2）
本報告書では NIST(米国国立標準技術研究所)が示す電子認証の定義「電子的な手段によって情報システムに提供されるユーザ身元
識別情報の信用を確立するプロセス」と同義としている。
（*3）
本調査では利用者に対してサービスサイトを「金銭に関連した」
「個人的な情報に関連した」
「その他」に分類してアンケートを実
施した。ここでいう「金融に関連したサービスサイト」とは銀行のオンラインバンキング、ショッピングサイト等のクレジットカ
ード情報や銀行口座情報等を取り扱うサービスと定義している。
1
「複数のパスワードを管理するのが手間だから」が過半数の 51.3%だった。
（3） 事業者はサービスサイトにおいて十分なセキュリティ環境を提供できていない
（報告書：P42 図 13、P43 表 30、図 14、P44 表 31、P40 表 28）
① サービスサイトにおいて「パスワードを設定する際の最小桁数」が 8 桁未満の割合は 58%。
“通販・物品購入”サービスに限定するとその割合は 79.2%だった。
②「パスワードに使用可能な文字種」を“英字＋数字＋記号”としているサービスサイトは
わずか 11%で、
“英字＋数字“は 69%と約 7 割を占めた。
” 通販・物品購入“に限定すると
「パスワードに使用可能な文字種」を英字＋数字としている割合は 9 割にも昇る。
安全なパスワードに対する利用者の意識は進んでいるが、サービス事業者が十分なセキュリ
ティ環境を提供できていない一端が伺える。
③ “通販・物品購入”サービスではメールアドレスを ID として設定している割合が 69%あった。
これは、ID が利用者にとって記憶しやすいという利点がある一方で、流出した場合にはスパム
メール（*4）や標的型メールなど多様な攻撃に悪用される可能性がある。そのため、メールアド
レスを ID として利用することは望ましくない。
なお、
“金融”サービスでは、パスワードの桁数が 8 桁未満、文字種が英字＋数字のみであっても、
十分なセキュリティレベルの確保に向け、ワンタイムパスワードなどの多要素認証方式（* 5）を採用して
いるケースが多かった。
（P39 表 27）
（4） パスワード等の安全な認証に対する利用者の許容度は決して低くない
（報告書：P64 図 38）
① 利用しているショッピングサイトのセキュリティを確保するために認証方法を変更する場合
の許容範囲をきいたところ、
「8 文字以上のパスワードの設定が必要」に回答したのが 71.8%
と最多だった。
② しかし、
「12 文字以上のパスワード設定が必要」に回答した割合は 24.5%と、その許容度は一
挙に低くなる。
このことから、利用者にとって安全のために許容できるパスワードは 8 桁以上 12 桁未満と考
えらえる。
③ そのほか、許容度が低いものには多要素認証があげられる。「複数のパスワード設定が必要」
は 14.6%、
「トークンや使い捨てパスワード等の他の認証が必要」は 14.2%だった。
利用者は、安全確保のために文字数への許容量は高いものの、多要素認証に対しては高くない
ことがわかった。
■インターネット利用者に対する提言
安全なオンラインサービス利用のため、以下の 4 項目を優先して実施する必要があります。
① 使い回さない ：サービスごとに異なるアカウントを設定する。
② 強いパスワード：8 桁以上、英字（大・小文字）＋数字＋記号、推測が容易でない文字列とする。
強いパスワードが提供されないサービスは利用すべきかを検討する。
（*4）
無差別にばらまかれるメールのことで、インターネットバンキングのログイン情報を窃取するフィッシングサイトへの誘導を狙っ
たフィッシングメールや、マルウェアを添付してウイルス感染を狙うものなどがある。
（*5）
情報セキュリティの強度を高めるために、複数の認証方式を用いること。
2
③ 適切な管理
：アカウントを PC に保存する場合は暗号化する。場合により管理ツールの利用も
検討する。
④ 定期的な変更 ：定期的にパスワードを変更する。
（ただし、①～③の実施が大前提）
■サービス事業者が安全なオンライン本人認証方式を実施するための提言
調査の結果から、サービス事業者は、利用者が安全なパスワードを設定可能なように、少なくともパ
スワードの最低文字数を 8 文字以上とすること、また文字種を増やすことが求められます。さらに、サ
イトが扱う情報やサービスに対するリスクを分析し、適切な認証手段を提供することが必要です。
IPA は、利用者の安全と利便が損なわれないインターネットサービスの利用のため、また適切な認証
手段とその導入負荷を事業者側が考慮するよう、本報告書が利用者、事業者双方に活用されることを期
待しています。
「オンライン本人認証方式の実態調査」の概要は以下のとおりです。
 利用者の調査
（1） 調査対象：男女別で 20 代～60 代の層別均等
2,060 名
（2） 調査期間：2014 年 4 月 4 日～4 月 7 日
（3） 調査方法：インターネットモニタ会社の保有する台帳から対象者を選定
（4） 主な調査項目
・ 個人がサービスサイトを利用する際に登録する情報
・ 個人がサービスサイトを利用する際に使用する認証方式の種類
・ 個人による ID・パスワードを記憶するためのツールの利用状況
・ ID やパスワードへの条件とその強度についての個人の知識の状況
・ 個人の認証方式と登録に対して、抵抗感、受容の程度、使いやすさ、必要性、サービスサイト
種別との関係などの意識
・ その他、オンライン本人認証方式の安全性を保持するために必要と考えられる項目
 サービスサイトの調査
（1） 調査対象：国内外のインターネットサービスサイト、国内 100、海外 30 サイト
（2） 調査期間：2013 年 11 月～2014 年 3 月
（3） 調査方法：実際に各サイトへアクセスし、利用者登録等を実施。なお、契約等を必要とするサ
ービスについては、利用者登録を行わず、公開情報から本人認証方式に関連する情
報を収集
（4） 主な調査項目
・ 利用者登録時に要求する情報
・ 認証方式、通信方式の種別
・ 認証情報の内容、変更方式
・ 多重認証の場合は、各認証方法
■本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 小松／花村
Tel: 03-5978-7530 Fax: 03-5978-7546 E-mail: [email protected]
■報道関係からのお問い合わせ先
IPA 戦略企画部 広報グループ 横山／白石
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected]
3