パスワードは最も脆弱(ぜいじゃく)なユーザー認証方式の一つだ。パスワード侵害の最初期の例は、紀元前413年までさかのぼる。古代ギリシャ軍は、夜間戦闘で敵味方を識別するのに合言葉を使っていた。この合言葉がシュラクサイ(訳注)軍に知られてしまった。ギリシャ軍は合言葉を使って友軍のふりをしたシュラクサイ軍に大打撃を受けた。
訳注:シチリア島の都市シラクサ(イタリア語)のこと。シュラクサイは古代ギリシャ語。ペロポネソス戦争におけるアテナイ(アテネ)のシケリア(シチリア)遠征(紀元前415〜紀元前413年)失敗のエピソードと思われる。
現在では、パスワードの最小要件として長さと複雑さが設定されるようになっている。だが、その要件が逆にセキュリティインフラの弱点となっている場合が多い。
この弱点の克服にはパスワードデータベースが役に立つ。パスワードはデータベースに安全に保管され、ユーザーは覚えている必要がないため複雑なものを設定できる。ただしこの場合は、パスワードデータベースがエンドポイントセキュリティの単一障害点となる。
そのため二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。
2FAの大半は、端末の紛失、盗難、(マルウェアなどを通じた)不正使用によって侵害される。
「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。
「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」
最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施されていたが、複数の差別的なツイートが同氏のアカウントで投稿された。
仮想通貨取引所Binanceは2FAシステムが侵害され、7000ビットコイン(日本円で44億円相当)が流出した。
2FAの侵害は想像よりもかなり簡単だ。米国で特によく使われている最も簡単な方法は、攻撃者が標的の携帯電話番号を自身の携帯電話にひも付ける方法で、「SIMスワップ」と呼ばれている。2FAメッセージをその携帯電話で受け取ることで、アクセス権が攻撃者の手に渡る。
2FAを侵害するマルウェアも確認されている。2020年2月、「Cerberus」というAndroidベースのマルウェアが「Google Authenticator」の2FAコードを盗み出していたことが分かった。他にも、「TrickBot」というマルウェアはSMSやプッシュ通知で受け取るバンキングアプリのワンタイムコードを窃取して2FAを回避することが知られている。
ソーシャルエンジニアリングを使った2FAの回避方法もある。攻撃者が標的の取引先銀行を装って電話をかけ、バンキングプロフィールへのアクセス試行の応答として直前に送信されたセキュアコードを引き合いに出して「本人確認をする」ことを求める手口だ。
「このような手口の多くは、技術スキルを必要としない。それが本当に怖い。金融業界には古くから『銀行口座を奪うのに技術スキルは要らない。人を引き付ける人柄さえあればよい』というジョークがある。2FAを回避する手口があると初めて分かったときに使われていたのはソーシャルエンジニアリングだった」(ハーディング氏)
この問題と戦うには、2FAが端末中心から本人中心になる必要がある。
続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。
生活者視点から見たDX 受容層43.1%、拒否層12.5%――日本IBM調査
「IBM Future Design Lab.」の調査によると今後、DXの波は産業の場から生活の場へと拡張...
マーケティングオートメーション(MA)を導入しない理由1位は4年連続で「高いから」――Mtame調査
2017年から続く「マーケティングオートメーション意識調査」の2020年版の結果です。
「ファッションテック」から「3密回避」まで データによる価値創造と課題解決の考え方
気象データを活用してファッションコーデを提案するサービスをデジタルエージェンシーの...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/igor_kell
