Shopify の脆弱なパスワード・ポリシー:e コマース業界全体としての改善が必要

Shopify Fails to Prevent Known Breached Passwords

2022/09/08 TheHackerNews — 最近のレポートにより、e コマース・プロバイダーである Shopify は、同社の Web サイトの顧客向けセクションで、特に脆弱なパスワード・ポリシーを使用していることが判明した。報告書によると、Shopify は顧客に対して、少なくとも5文字以上で、スペースで開始/終了しないパスワードの使用を要求しているという。

報告書によると、Specops の研究者たちは、侵害されたことが判明している 10億のパスワードのリストを分析し、それらのパスワードの 99.7%が Shopify の要件に準拠していることを発見したという。これは Shopify の顧客のパスワードが漏洩したことを示唆するものではないが、漏洩したパスワードの多くが Shopify の最低限のパスワード要件を満たしているという事実は、脆弱なパスワードの使用に伴う危険性を明示している。


脆弱なパスワードの危険性

Hive Systems による最近の研究は、脆弱なパスワード使用の危険性を指摘するものだ。この研究では、さまざまな長さ/複雑さのレベルを持つパスワードを、ブルート・フォースでクラックするのに必要な時間を調査している。 Hive Systems のインフォグラフィックは、複雑さに関係なく、5文字のパスワードは瞬時にクラックできることを示している。短いパスワードは力ずくで簡単にクラックできるため、理想的には 12文字以上の複雑なパスワードを要求する必要がある。

5文字のパスワードの使用に関するセキュリティへの影響を脇に置いたとしても、より大きな問題としてコンプライアンスの存在がある。

コンプライアンスの遵守は、大企業だけが心配すべきことだと捉えがちだ。そのため、Shopify のアカウントを開設している数多くの小規模業者は、関連するコンプライアンス要件を知らずにいる可能性がある。しかし、クレジット・カード業界は、クレジット・カードでの支払いを受け入れるすべてのビジネスが、公式の PCI セキュリティ基準を遵守することを要求している。

PCI 要件を回避するサードパーティの決済システム

Shopify や、同様の e コマース・プラットフォームを小売業者が使用する利点の1つとして、独自の決済手段を運用する必要がないことが挙げられる。この場合、顧客に代わって、Shopify が取引の処理を行う。したがって、この決済プロセスのアウトソーシングにより、e コマース・ビジネスオーナーは、多くの PCI 要件から保護されることになる。

たとえば、PCI 規格では、保存されているカード所有者のデータ保護を、加盟店に義務付けている。ただし、e コマース・ビジネスが決済処理を外部委託する場合、通常は、顧客のクレジット・カードのデータを所有することはない。したがって、それらの事業主は、カード会員のデータを所有していないため、データ保護の必要性を効果的に回避できる。

ただし、問題になり得る PCI 要件の1つとして、システム・コンポーネントへのアクセスを識別する認証が挙げられる (要件 8)。 PCI セキュリティ標準では、必要なパスワードの長さは指定されていないが、PCI DSS クイック・リファレンス・ガイドの 19 ページには、「すべてのユーザーは、認証のために強力なパスワードを使用する必要がある」と記載されている。このステートメントを考慮すると、e コマースの小売業者が5文字のパスワードを使用することを正当化するのは難しいだろう。

社内における IT セキュリティの強化

もちろん、e コマース業界全体として、パスワード・セキュリティを改善すべきという問題が提起される。おそらく最も重要な推奨事項は、e コマース・ポータルに関連付けられた最小パスワード要件が、不十分である可能性を認識することだ。セキュリティとコンプライアンスの観点から、ポータルに要求される最低限のパスワードよりも、長く複雑なパスワードを使用することが推奨される。

もう1つ、e コマースの小売業者が行うべきことは、自社のネットワークでパスワードのセキュリティ向上の対策を真剣に検討することだ。これは特に、顧客データがネットワーク上で保存/処理される場合に該当する。2019 年の調査によると、中小企業の 60%が、ハッキングから6か月以内に閉鎖されている。そのため、セキュリティ・インシデント防止のための対策が非常に重要であり、その大きな要素として、パスワードの安全性を確認することが挙げられる。

Windows OS には、パスワードの長さ/複雑さの要件を制御できるアカウント・ポリシー設定が含まれている。このような制御も重要だが、Specops Password Policy は、企業が Windows に組み込まれているネイティブ・ツールのみを使用して、さらに強力なパスワード・ポリシーを構築するのに役立つ。

Specops Password Policy が提供する、最も魅力的な機能の1つは、組織内で使用されているパスワードを、過去に侵害されている数十億のパスワード・データベースと比較する機能だ。この機能により、侵害されたパスワードをユーザーが使用していることが判明した場合、問題が発生する前にパスワードを変更することが可能になる。

管理者は、Specops Password Policy を使用して、パスワードに含めてはならない禁止語句のリストを作成もできる。たとえば、ユーザーが会社名をパスワードの一部として使用できないようにする、ポリシーの作成などが可能になる。

さらに、パスワードの複雑さ回避したいユーザーが、一般的に用いる手法をブロックすることもできる。これには、連続した繰り返し文字 (99999 など) を使用したり、文字を似たような記号 (s の代わりに $ など) に置き換えたりすることが含まれる場合がある。

つまり、Specops Password Policy は、より安全なパスワード・ポリシーを作成し、サイバー犯罪者がユーザーアカウントにアクセスするのを、より困難にするのに役立つということだ。Specops Password Policy は、Active Directory で、いつでも無料でテストすることができる。

Shopify の脆弱なパスワードの問題を入り口にして、e コマース業界全体として考えるべきパスワード・ポリシーへと話は進みます。いろいろな参照リンクもあり、それぞれを眺めていくとイメージが広がります。その中でも、Hive Systems の、Time It Takes A Hacker To Brute Force Your Password In 2022 という、パスワード・クラックに必要な時間を示す資料が面白かったです。2FA/MFA も重要ですが、もう一度、パスワードについて考えるきっかけになる記事です。

%d bloggers like this: