Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗

Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事、The Registerの記事、Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。　スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | 情報漏洩

　関連ストーリー：
11歳の米少女、パスワードを生成して販売するビジネスを始める 2015年10月27日
英GCHQ、複雑すぎるパスワードの使用中止を推奨 2015年09月22日
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数 2015年09月18日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
統計によるパスワードクラック 2015年04月18日
「パスワードの強度を判定」するツールにご注意を 2015年04月14日
NSAでも破れないが、覚えやすいパスフレーズ 2015年03月29日
多くの人が「パスワードの管理疲れ」を体験している 2015年02月10日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日
「よく使われる危険なパスワードTop500」にご注意を 2009年01月06日