ブログ

これだけは実施したいWebサイトセキュリティ:パスワード編

2016.07.14

これだけは実施したいWebサイトセキュリティ:パスワード編

先月、JTBのサーバが不正アクセスを受け顧客情報が流出するなど世間を騒がせましたね。

警察庁は「平成27年における不正アクセス行為の発生状況等の公表について」にて年間2000件もの不正アクセスが認知されていることを発表しています。

私自身も「Webサイトが閲覧できなくなった、ハッキングされたから助けてほしい」など公私で相談を受けることが増えました。
実際にハッキングされたWebサイトの例がこちらです。
hack

セキュリティ対策を疎かにしたことがお客様に伝わると信頼を損ねる原因にもなりかねません。

不正アクセスを未然に防止する対策が非常に大切になりますので、当社ではFTPだけでなくお客様に提出するレポート(PDF形式)のパスワードを記号も含めた10文字以上のパスワードで保護させて頂く程のセキュリティポリシーを設けております。

今回はWebサイトを運営する全ての方へ最低源実施すべきセキュリティ対策として、パスワードについて解説します。

パスワードと不正アクセスの関係

Webサイトがハッキングされる経路の大半はFTPのパスワードが外部に知られてしまうことです。

FTPでWebサイトへアクセスする際に必要な情報はホストアドレス、ユーザー名、パスワード、ポート番号の4つになります。

上記の情報の内、パスワード以外の3つの情報は下記のパターンであることが多いです。

  • ホストアドレス:Webサイトのドメイン名またはレンタルサーバのドメインと同じ
  • ユーザー名:admin、administrator、root、企業名、個人名など
  • ポート番号:21番

そのため、パスワードのみハッキングすればFTPでWebサイトへアクセスすることができ、サイト所有者同様に自由にサイトを改変できることになります。

そのため、Webサイトを運営する上で設定したパスワードを特定されにくくすることがとても大切です。

特定方法1:ブルートフォースアタックの仕組みとその対策

ブルートフォースアタックとは総当たり攻撃とも言われ、0から順番に認証を試みて正解にたどり着くまでひたすらパスワードを入力し続けるという方法です。

試行回数に制限をかける方法がもっとも効果的なのですが、安価なレンタルサーバでは設定できないことが多いため、パスワードに使用する文字数または使用する文字(キャラクター数)を増やすことが効果的です。

具体的に何文字で文字の種類(アラビア数字、大文字英字、小文字英字、記号)をどれだけ導入するかで何パターンのパスワードが表現できて、ブルートフォースアタックで正解のパスワードを特定までにかかる時間を表にまとめました。

パスワードのパターン
char

特定にかかる時間
keta

7文字以下のパスワードは、ほぼ無意味であることがわかります。

最低でもFTPのパスワードは大文字小文字英数を組み合わせた10文字以上のパスワードを使用することをお勧め致します。

特定方法2:ディクショナリーアタックの仕組みとその対策

ブルートフォースアタックをより効率的に行う方法がディクショナリーアタックです。

辞書攻撃とも言われ、よく使われそうなワードで構成した文字列を複数生成してログインを試み、パスワードを特定する方法です。

具体的には自分や家族の氏名、企業名の一部、誕生日や創立記念日など何かしらの記念日、1234やabcdなどのワードをリスト化して順番に試行します。

そのため、上記のような推測されやすいワードは使用せず完全にランダム(意味をもたない文字列)で構成することでパスワードを特定されることを防ぐことができます。

パスワード生成ツール

パスワードを自動で生成するツールをご用意しました。

パスワード生成をクリックすると10桁の大文字小文字英数を含めたランダム文字列のパスワード5つを自動で作成してくれます。

よろしければご活用下さい。

おわりに

本記事をご覧になった方の大半は「そんなこと言われなくても知っているよ」と思われるかもしれません。
一方で、世の中の大半のパスワードは上記のルールに乗っ取ってないのが現状です。

下記のサイトでご自身のパスワードがどれくらいの時間でハッキングできるか最小ピコ秒単位で教えてくれますの是非お試しください。
HOW SECURE IS MY PASSWORD

また、どんなパスワードも100%ハッキングを防げるわけではありません、定期的にパスワードを変更することも大切です。
この機会にパスワードルールの見直しをされることをお勧め致します。

集客やサイト改善などWebに関することなら、
何でもお気軽にお問い合わせください

ウェブ集客のご相談、見積り依頼などは、こちらからお問い合わせください

ご相談・お問い合わせ

サービスや実績などをまとめた会社案内は、こちらからダウンロードできます

会社資料ダウンロード

お急ぎの方はお電話でも相談いただけます

0120-439-241