7割以上のサービスが「IDとパスワードのみの認証」、多要素認証の採用に遅れ

2019/07/02

ツイート

フィッシング対策協議会の認証方法調査・推進ワーキンググループは7月1日、「認証方法」に関する調査結果を発表しました。

この調査は、現状把握、集計、比較を目的に、「インターネットサービスで、何らかの個人認証を実施している事業者」10業種・308名に対して、2019年2月にアンケート調査したものです。認証方式と複数要素による認証利用の有無、運用内容、強化のきっかけ、パスワードの仕様、不正利用等について質問しています。

それによると、全体の76.9％の組織が、「ID、パスワードのみの認証」しか行っていませんでした。業種別では特に「通信」90.3％、「保険」87.1％は割合が高く、一方「インターネット販売（ECサイト）」64.5％、「ゲーム」65.5％となっており、これらの業種では多要素認証への対応が進んでいるといえる状況であることがわかったとしています。

また、銀行、地銀業界やクレジットカード業界では、ID数1,000未満の場合に「ID、パスワードのみの認証」しか行われていないことから、ワーキンググループは、「ID数が少ないほど対策が遅れている」と考察しています。

そのほか、不正利用の被害について、「あったことがある」と回答したサービスは全体で20.8％に上りました。被害の内訳は、インターネット販売は「なりすまし」83.3％が圧倒的に多く、全体では「ポイントの不正利用」が46.9％で最も高くなっていました。
また、不正攻撃にあったサービスも全体で19.5％存在し、業種別では「クレジットカード」38.7％、「ゲーム」31.0％が突出していました。

今後、ワーキンググループでは利用者の意識調査も行い、業種による適正な認証について明らかにしていく予定です。調査結果のレポートは、フィッシング対策協議会のサイトよりPDFファイルがダウンロード、閲覧可能です。

個人認証を主にどのような方法で実施していますか（フィッシング対策協議会の発表資料より）

• サイバー攻撃
• サイバー犯罪
• アカウント
• 個人情報
• フィッシング
• パスワード