パスワード認証を補完、強化、代替するものとして広まった二要素認証と生体認証。だが、今やそうした認証の回避策も現れ安全とは言えなくなった。
パスワードは最も脆弱(ぜいじゃく)なユーザー認証方式の一つだ。パスワード侵害の最初期の例は、紀元前413年までさかのぼる。古代ギリシャ軍は、夜間戦闘で敵味方を識別するのに合言葉を使っていた。この合言葉がシュラクサイ(訳注)軍に知られてしまった。ギリシャ軍は合言葉を使って友軍のふりをしたシュラクサイ軍に大打撃を受けた。
訳注:シチリア島の都市シラクサ(イタリア語)のこと。シュラクサイは古代ギリシャ語。ペロポネソス戦争におけるアテナイ(アテネ)のシケリア(シチリア)遠征(紀元前415~紀元前413年)失敗のエピソードと思われる。
現在では、パスワードの最小要件として長さと複雑さが設定されるようになっている。だが、その要件が逆にセキュリティインフラの弱点となっている場合が多い。
この弱点の克服にはパスワードデータベースが役に立つ。パスワードはデータベースに安全に保管され、ユーザーは覚えている必要がないため複雑なものを設定できる。ただしこの場合は、パスワードデータベースがエンドポイントセキュリティの単一障害点となる。
そのため二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。
2FAの大半は、端末の紛失、盗難、(マルウェアなどを通じた)不正使用によって侵害される。
「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。
「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」
最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施されていたが、複数の差別的なツイートが同氏のアカウントで投稿された。
仮想通貨取引所Binanceは2FAシステムが侵害され、7000ビットコイン(日本円で44億円相当)が流出した。
2FAの侵害は想像よりもかなり簡単だ。米国で特によく使われている最も簡単な方法は、攻撃者が標的の携帯電話番号を自身の携帯電話にひも付ける方法で、「SIMスワップ」と呼ばれている。2FAメッセージをその携帯電話で受け取ることで、アクセス権が攻撃者の手に渡る。
2FAを侵害するマルウェアも確認されている。2020年2月、「Cerberus」というAndroidベースのマルウェアが「Google Authenticator」の2FAコードを盗み出していたことが分かった。他にも、「TrickBot」というマルウェアはSMSやプッシュ通知で受け取るバンキングアプリのワンタイムコードを窃取して2FAを回避することが知られている。
ソーシャルエンジニアリングを使った2FAの回避方法もある。攻撃者が標的の取引先銀行を装って電話をかけ、バンキングプロフィールへのアクセス試行の応答として直前に送信されたセキュアコードを引き合いに出して「本人確認をする」ことを求める手口だ。
「このような手口の多くは、技術スキルを必要としない。それが本当に怖い。金融業界には古くから『銀行口座を奪うのに技術スキルは要らない。人を引き付ける人柄さえあればよい』というジョークがある。2FAを回避する手口があると初めて分かったときに使われていたのはソーシャルエンジニアリングだった」(ハーディング氏)
この問題と戦うには、2FAが端末中心から本人中心になる必要がある。それを実現する主な方法の一つが生体認証だ。2FAに生体認証を使うことで、本人がその端末を使っていることを確認できる。「確実に本人確認する唯一の方法は、認証対象に関する登録済みの既知の身体的/行動的特徴と照合する生体認証を使うことだ」とハーディング氏は話す。
生体認証は既に生活の至る所で使われている。最も一般的な例としては指紋認証や「Face ID」、銀行に電話するときの声紋認証などがある。「対応可能な端末は既に人々の手元に行き渡っている。生体認証はiPhoneやAndroidのおかげで一般的になった。ただ、これらは利便性のために組み込まれた機能であり、生体認証を追加することを意図していたわけではないのは皮肉だ」(ハーディング氏)
ただし生体認証も完全無欠ではない。最近の事例が示すように、生体認証が欺かれる、つまり正しい情報が提示されていると誤認識させることもある。「グミベアハッキング」という手口は、グミに写し取った指紋で指紋スキャナーを欺く。Facebookの写真を3Dレンダリング(https://www.wired.com/2016/08/hackers-trick-facial-recognition-logins-photos-facebook-thanks-zuck/)して顔認識を欺いた例も報告されている。
後編(Computer Weekly日本語版 6月17日号掲載予定)では、生体認証や2FAを回避する手段への対抗策を紹介する。関連記事
https://techtarget.itmedia.co.jp/tt/news/1902/27/news01.html
2FAバイパスツールがもたらした二要素認証安全神話の終焉
https://techtarget.itmedia.co.jp/tt/news/1708/08/news01.html
十分に進化した生体認証は“手に埋め込んだチップ”すら不要
https://techtarget.itmedia.co.jp/tt/news/1909/13/news01.html
Windows 10の次期バージョンでパスワードレスサインインが実現
https://techtarget.itmedia.co.jp/tt/news/1408/22/news01.html
「人の声がその答えだ」──パスワード認証に代わる音声生体認証
https://techtarget.itmedia.co.jp/tt/news/2002/04/news01.html
RPAに組み込むべきセキュリティ対策
https://techtarget.itmedia.co.jp/tt/news/1903/01/news01.html
パスワードのない世界の条件は「FIDO+アルファ」
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
