フィッシング対策協議会は『インターネットサービス利用者に対する 「認証方法」に関するアンケート調査』を実施し、その結果を発表している。
情シスにかかわる人は当たり前と捉えていることでも、一般的には”認証”をどのようにとらえているのだろうか。この結果を参考に社内教育の在り方を検討するのもよいかもしれない。

調査実施概要

• 実施期間　2020年02月28日(金)～2020年03月2日(月)
• 調査方法　インターネットリサーチ
• 設問数　　46問
• 調査対象：インターネットサービスの利用者（匿名）
• 回答者数　562名

各年代で男女それぞれが100名を超えていない母数の少なさ感じるものの、傾向は見えてくると考えられる。

また、調査実施時期も2月下旬から3月初旬と、ここ最近の話題である「ドコモ口座」問題などが知られる以前であり、より実態が反映されていると思われる。

今回の調査では性別、年齢、地域などの基本情報を除いて43の質問をしており、より具体的な内容にまで踏み込んでいるところがユニークである。その中からいくつか特徴的な回答をピックアップして紹介する。

 

認証をどう思っているのか

以下はサービス別の認証方法の利用状況である。

＜データ出典：フィッシング対策協議会＞

認証なしが最も少ないのは、ネットバンキングとクレジットカード会社サービスであるが、この二つにおいて「ID/パスワードのみ」が少ないのはネットバンキングであり、多要素認証が取り入れられている。その内訳は以下のようになっている。

＜データ出典：フィッシング対策協議会＞

ここで注目すべきは「ID/パスワードのみ」という回答が40%超もあることである。郵便受けから郵便物を抜き取られることやダークウェブ上での個人情報の売買などを考えると、口座情報は（悪人の間では）周知の事実であると仮定した場合、「ID/パスワードのみ」というのは非常に危険であることは容易に想像がつくであろう。ドコモ口座やゆうちょ銀行の不正引き出しの原因はこのようなところにある。

次に心配となるのは、通販（EC）サイトの利用であるが、この利用にはほぼ間違いなく「ID/パスワードのみ」と言え、リスクとしては大きい。利用サービスに二段階認証の仕組みがある場合は利用すべきである。余談かもしれないが、大抵の場合はクレジットカード決済となることを考えると、インターネット決済専用クレジットカード（例：三井住友VISAバーチャルカード）などを利用することで、万が一不正利用があっても悪用された額が補償されるので、”認証が破られたとしても”被害を最小限にとどめるための工夫はしておきたい。

 

複雑・面倒をどうやって解決できるかが今後のカギに

今回のアンケートを通じ、サービスの利用で手順が複雑・面倒といった場合は”利用しない”傾向が半数近くあることがわかった。
人間ですから「面倒なことはやらない」のは容易に想像がつきます。しかしながら、50歳以上の高齢者が慣れないことをするのを嫌がるのはわかるものの、18～29歳の若年層においてもこの傾向が強かったことには多少の驚きがある。これは複雑・面倒な行為の先にある安全の周知が不足している表れなのかもしれない。

＜データ出典：フィッシング対策協議会＞

面倒なことを少なくしたいという表れはID連携についての質問からも読み取れる。これはデジタルネイティブ世代が若年層には含まれるためかもしれないが、各サービスをID連携により認証することに抵抗感が少ないようである。

＜データ出典：フィッシング対策協議会＞

自分の周辺を見てもLINEを軸にしたエコシステムはこの傾向が強く、半ば”それが当たり前”かのように求められるというのもあるであろう。もしくは、Yahoo!とPayPayのように親子関係の会社間でID連携など囲い込み戦略の一部としてID連携が使われている部分もあり、よく利用する人ほどID連携してしまうということかもしれない。

また、最近のブラウザはアクセスしたURLごとにパスワードを記録してくれる機能があるが、この利用状況は前述の「複雑・面倒だからやらない」という結果と傾向が酷似している。

＜データ出典：フィッシング対策協議会＞

「複雑・面倒だからやらない」の裏返しとして、便利だから活用しているのだと思われる。

 

サービスの利用不安とパスワード

本調査ではインターネットのサービスを利用していることへの不安についても聞いている。

＜データ出典：フィッシング対策協議会＞

「特に感じていない」の項目では18～29歳と60～69歳では20%以上の開きがある。一方で、ID/パスワードが盗まれることやなりすまし被害、個人情報の流出などについては、逆転の関係にあるのが興味深い。

不安を感じつつも、若年層は利便性を優先しているということなのであろうか。

そんな不安も抱えつつも、今やインターネットのサービスを利用しないことはできない状況である。

＜データ出典：フィッシング対策協議会＞

今やメール・ニュース・SNSはスマホで見るのが当然であろう。メールとSNSが年代で逆転現象が起きているのは時代を背景とした”慣れ”の要素が大きいと考えられる。

このように不安を抱きながらも、利便性を優先し、日々利用しているインターネットサービスであるが、そのパスワードや管理についてはどう思っているのだろうか？

パスワードはどのように管理しているのかを聞いたところ、TOTALでは70%弱が「自分で記憶している」と回答。年代別では18～29歳が約80%であるが、年代が進むごとにその割合は減り、60～69歳では約55%まで落ち込む。その落ち込みは男性はブラウザに記憶させ、女性はメモ帳やノートに記憶していることがわかる。

＜データ出典：フィッシング対策協議会＞

個人的には”覚えておく”にも限界があるように思えるが、パスワードを記憶しておくためにどのようなことをしているのだろうか？

＜データ出典：フィッシング対策協議会＞

パスワード設定のルールであることを考えると「答えたくない」が正解だったような気がするが、まさかその他の自由回答欄に真面目に書いてしまった人がいないことを願っておく。

冗談はさておき、ここで注目すべきは以前に「設定したものを再使用」「IDと同じ文字列」「名前や誕生日など」という回答が少なからず存在してしまっていることである。この3つは”最もやってはいけないパスワードの作り方”として、個人レベルで肝に銘じておくべきである。

「その場で考えて決める」「パスワード強度評価を参考に決める」というのは、ランダム性の観点からは良いことであるが、すぐに忘れてしまうようでは利便性も悪い。しかしながら、なりすましができないように配慮されたシステムを持つサービスであれば、パスワードを忘れたら再発行を繰り返すのも一つの手である。自分でさえ覚えていないのだから、それは強力な防御になるであろう。

また、パスワードは原則としてサービスごとにユニークであるべきである。しかしながら、有料ニュースサイト、Google、Yahoo!、Amazon、楽天市場、Facebook、Twitter、Instagram、LINE、DAZN、Netflix、hulu、銀行、証券、Uber、メルカリ、エアライン系アプリなどほんの一例に過ぎないが、実際20～30のID/パスワードは使い分けが必要になる。

＜データ出典：フィッシング対策協議会＞

しかしながら、実態としてはある程度ジャンルに分けて共通化しているようである。世代が若いほど「一つを使いまわしている」という強者が多いことが見てとれる。本当に一つなのかはわからないが、一つだとすればとても危険な状況にあると言わざるを得ない。

また、時代と共にパスワード管理手法も変わってきている。以前はパスワードは定期的な変更が当たり前であったが、2018年3月に総務省はパスワードの「設定と管理のあり方」を改訂し、それまでの“常識”を覆す「パスワードの定期的な変更は不要」というメッセージを発信している。

これは2017年に米国国立標準技術研究所（NIST）が発表したガイドラインでも「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」という内容が示されている。

ただし、パスワードを変更する行為そのものが危険なわけではないので、誤解のないよう注意が必要だ。

では、一体何が”危険”なのだろうか？　それは「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになること」が問題としている。

最近ではパスワード管理ソフトが自動で強力なパスワードを提示してくれる機能もあるが、サービス側のルールにマッチしなかったり、パスワード管理ソフトをどこまで信じていいのかなど心配の種は尽きない。

 

5Gの時代になり、常時セキュア通信が前提となれば、秘密分散で拡散されたパスワードデータを利用時に呼び出して使う、そんなことも実現できるのではないだろうか。新政権でデジタル庁が創出されるのであれば、こんな心配をせずに済む仕組みづくりにも取り組んでもらいたい。

より詳しいデータはフィッシング対策協議会のHPからダウンロードすることができる。

---

全データのダウンロードはこちらから（外部サイトに移動します）

---

本記事は、フィッシング対策協議会様の公開情報の内容を元に作成しております。
ソース：https://www.antiphishing.jp/news/info/20200909.html