「オンライン本人認証方式の実態調査」報告書について

　2013年以降、流出した個人のID・パスワード（以後、アカウント）が、不正アクセスに悪用される、“パスワードリスト攻撃“が多発しています（*1）。IPAではこれを受け、インターネットサービスにおける利用者（個人）とサービス事業者双方のオンライン本人認証（*2）の実態調査をおこない、安全なオンライン認証を実現する上での利用者側、サービス事業者側の対策を検討し、優先すべき対策項目を報告書として取りまとめました。

　調査結果から、利用者の安全なパスワードに対する認識は決して低くはないが、適切に設定している割合は低い。また、サービス事業者が提供しているパスワード設定のセキュリティレベルは最低限の安全条件を満たしているとは言い難い、という結果が判明しました。調査結果のポイント及び詳細については、以下のプレスリリースや調査報告書をご参照ください。

（*1）本報告書では公開情報をもとに2013年に発生した被害を調べ20社の不正アクセス期間、不正ログインの試行件数、成立件数、成功率をまとめている。
（*2）本報告書ではNIST(米国国立標準技術研究所)が示す電子認証の定義「電子的な手段によって情報システムに提供されるユーザ身元識別情報の信用を確立するプロセス」と同義としている。

IPA 技術本部 セキュリティセンター　小松／花村
TEL：03-5978-7530　FAX：03-5978-7546　E-mail：

2014年8月5日	公開