ブログ

2016.07.14

これだけは実施したいWebサイトセキュリティ:パスワード編
これだけは実施したいWebサイトセキュリティ:パスワード編

ツール

こんにちは、西尾です。

先月、JTBのサーバが不正アクセスを受け顧客情報が流出するなど世間を騒がせましたね。警察庁は「平成27年における不正アクセス行為の発生状況等の公表について」にて年間2000件もの不正アクセスが認知されていることを発表しています。

私自身も「Webサイトが閲覧できなくなった、ハッキングされたから助けてほしい」など公私で相談を受けることが増えました。
実際にハッキングされたWebサイトの例がこちらです。
hack

セキュリティ対策を疎かにしたことがお客様に伝わると信頼を損ねる原因にもなりかねません。

不正アクセスを未然に防止する対策が非常に大切になりますので、当社ではFTPだけでなくお客様に提出するレポート(PDF形式)のパスワードを記号も含めた10文字以上のパスワードで保護させて頂く程のセキュリティポリシーを設けております。

今回はWebサイトを運営する全ての方へ最低源実施すべきセキュリティ対策として、パスワードについて解説致しますのでよろしければご覧ください。

目次

 

パスワードと不正アクセスの関係

Webサイトがハッキングされる経路の大半はFTPのパスワードが外部に知られてしまうことです。FTPでWebサイトへアクセスする際に必要な情報はホストアドレス、ユーザー名、パスワード、ポート番号の4つになります。

上記の情報の内、パスワード以外の3つの情報は下記のパターンであることが多いです。

  • ホストアドレス:Webサイトのドメイン名またはレンタルサーバのドメインと同じ
  • ユーザー名:admin、administrator、root、企業名、個人名など
  • ポート番号:21番

そのため、パスワードのみハッキングすればFTPでWebサイトへアクセスすることができ、サイト所有者同様に自由にサイトを改変できることになります。
(なお、当ブログのFTPはポート番号21ではFTPにアクセスできないように設定させて頂いておりますので、ハッキングはご遠慮下さい)

そのため、Webサイトを運営する上で設定したパスワードを特定されにくくすることがとても大切です。
次節でパスワードを特定する方法2つとその対策方法をご紹介します。

 

特定方法1:ブルートフォースアタックの仕組みとその対策

ブルートフォースアタックとは総当たり攻撃とも言われ、0から順番に認証を試みて正解にたどり着くまでひたすらパスワードを入力し続けるという方法です。

試行回数に制限をかける方法がもっとも効果的なのですが、安価なレンタルサーバでは設定できないことが多いため、パスワードに使用する文字数または使用する文字(キャラクター数)を増やすことが効果的です。

具体的に何文字で文字の種類(アラビア数字、大文字英字、小文字英字、記号)をどれだけ導入するかで何パターンのパスワードが表現できて、ブルートフォースアタックで正解のパスワードを特定までにかかる時間を表にまとめました。

パスワードのパターン
char

特定にかかる時間
keta

7文字以下のパスワードは、ほぼ無意味であることがわかります。
最低でもFTPのパスワードは大文字小文字英数を組み合わせた10文字以上のパスワードを使用することをお勧め致します。

 

特定方法2:ディクショナリーアタックの仕組みとその対策

ブルートフォースアタックをより効率的に行う方法がディクショナリーアタックです。
辞書攻撃とも言われ、よく使われそうなワードで構成した文字列を複数生成してログインを試み、パスワードを特定する方法です。
具体的には自分や家族の氏名、企業名の一部、誕生日や創立記念日など何かしらの記念日、1234やabcdなどのワードをリスト化して順番に試行します。

そのため、上記のような推測されやすいワードは使用せず完全にランダム(意味をもたない文字列)で構成することでパスワードを特定されることを防ぐことができます。

パスワード生成ツール

パスワードを自動で生成するツールをご用意しました。
パスワード生成をクリックすると10桁の大文字小文字英数を含めたランダム文字列のパスワード5つを自動で作成してくれます。

よろしければご活用下さい。

おわりに

如何でしたでしょうか。本記事をご覧になった方の大半は「そんなこと言われなくても知っているよ」と思われるかもしれません。
一方で、世の中の大半のパスワードは上記のルールに乗っ取ってないのが現状です。

下記のサイトでご自身のパスワードがどれくらいの時間でハッキングできるか最小ピコ秒単位で教えてくれますの是非お試しください。
HOW SECURE IS MY PASSWORD

また、どんなパスワードも100%ハッキングを防げるわけではありません、定期的にパスワードを変更することも大切です。
この機会にパスワードルールの見直しをされることをお勧め致します。

WEBコンサルティング

最適化・最大化させる。

制作、集客、解析、改善、検証まで一気通貫した完全オーダーメイドのWebコンサルティング。
お客様のビジネスゴールに向けた戦略的コンサルティングを行います。

VIEW MORE くわしく見る

ホームページ制作

キレイなだけじゃない。

競合分析・サイト設計から更新・運用までトータルサポート。
Web集客のプロが在籍しているアクシスだからこそ実現するデータに基づき最適化されたHPを制作します。

VIEW MORE くわしく見る

ネット集客・広告

来てほしい人が来てくれる。

御社にとっての最適解は、本当にリスティング広告で集客することですか?
リスティング運用者全員がWebコンサルタントのアクシスでは、そこから話を始めます。

VIEW MORE くわしく見る

解析・分析・改善

あなたのサイトを丸裸に。

Webサイトの現状を正しく把握し、目指すべき姿とのギャップを知る。
“2軸思考”であなたのWebサイトを丸裸にし、Webサイトで今何が起きているかを正しく把握します。

VIEW MORE くわしく見る

お問い合わせ

メールフォームからの
お問い合わせ