情報処理推進機構(IPA)の、Web サイトの開発者や運営者向け「安全なウェブサイトの作り方」に、パスワードリスト攻撃への悪用防止対策などが新たに追加された。

IPA、パスワードリスト攻撃への悪用防止対策などを新たに追加
IPA、パスワードリスト攻撃への悪用防止対策などを新たに追加

IPA では、必要な技術的配慮が不足していたために起こる Web サイトの情報漏えいや改ざんなど、意図しない被害を防ぐため、「安全なウェブサイトの作り方」を2006年から発行している。ソフトウェア製品や Web アプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮された Web サイト作成のためのポイントをまとめている。

7版となる今回の改訂では、DNS を狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃など、前回改訂の2012年以降問題となった攻撃、および新たな手口への有効な対策を追加している。また、今回は保存している利用者などのパスワードの漏えいに備える対策を提示している。

7版ではパスワードを“ソルト”と呼ばれる文字列を付加して計算したハッシュ値(「ソルト付きハッシュ値」)にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばすことを推奨している。この対策により、パスワードが漏えいしても、復元が困難なためパスワードリスト攻撃などへの悪用防止効果が期待できるという。

DNS とは、Domain Name System の略で、コンピュータがネットワークのどこに接続されているかを示す IP アドレスという数字の集まりを、「www.ipa.go.jp」のような、人に覚えやすいドメイン表記と対応させるための情報を管理する仕組み。

クリックジャッキング攻撃とは、ユーザーを視覚的にだまして、誤って別の Web ページのコンテンツをユーザーに操作させる攻撃。

ハッシュ値とは、ハッシュ関数により求められる固定長のデータ。ハッシュ値から元の文字列を求めることが難しいという特性を持つ 。