モバイルアプリによる二要素認証をさっさと捨てるべき理由:認証アプリは時代遅れ
モバイル端末に送信したコードで認証する二要素認証は既に時代遅れだ。なぜ認証アプリが安全ではないのか。それに代わる安全なソリューションとは?
かつて個人が趣味で行っていたハッキングは、犯罪組織や悪意を持った国家が目標を達成する手段に変わった。2021年のランサムウェア攻撃は2020年よりも92.7%増え、侵害の90%が認証の問題によって引き起こされているという調査結果もある。
攻撃者が脆弱(ぜいじゃく)な認証を回避する方法の一つがフィッシングだ。英国政府の調査「Cyber Security Breaches Survey 2021」は、フィッシングが最も使われており、セキュリティ侵害の83%を占めるとしている。
時代遅れのソリューション
企業や消費者の多くは時代遅れのソリューションを使っている。その一つがパスワードだ。
パスワードは最新のセキュリティソリューションではない。強力なパスワードであっても、フィッシングやランサムウェア攻撃には対抗できない。そのため、Microsoftなどは「パスワードレス」を推進している。
モバイルアプリによる認証も時代遅れだ。
モバイルアプリによる認証は、エントリーレベルとしては優れている二要素認証を使う。だが、最終的には突破できるので確実とは言えない。認証アプリの大半は、コードの生成に暗号化キーを使用する。攻撃者がこのキーを盗み出せば権限を手に入れることができる。このような中間者攻撃の影響を最も受けやすいのは、ワンタイムパスワードとSMS検証を利用する認証アプリだ。
さらに、ここ6年でSIMスワップ詐欺事件が4倍になっている。複製した携帯電話番号を新しいSIMカードに割り当ててオンラインバンクなどにアクセスするとしたら、モバイルアプリの認証機能の価値に疑問を抱かざるを得ない。
フィッシングに勝てる可能性があるFIDO2
エンジニアは、FIDO2認証を検討する必要がある。このプロトコルは、ユーザーが制御する暗号認証機能(NEOWAVEの「Winkeo」セキュアキーなど)で構成される。この機能は「Azure Active Directory」や「Microsoft 365」などにリンクできるので、幅広いビジネスに利用可能だ。検証は、ユーザーがじかにキーをタップしてPINコードを入力しなければ実行できない。そのため、迂回(うかい)が可能なモバイルアプリは不要になる。
FIDO Allianceが認定するキーとカードにより、悪意のあるWebサイトを識別することも可能だ。悪意のあるWebサイトにユーザーがアクセスしても、そのサイトではFIDO認証が求められない。入手したログイン情報を攻撃者が使っても、実際のWebサイトではそのユーザーのアカウントにアクセスできない。それは、攻撃者は認証に必要な物理キーを持っていないからだ。これにより、多要素認証では資格情報を入手した直後のフィッシング攻撃しか保護できないという心配がなくなる。
わずかなコストでセキュリティを強化
FIDOソリューションを実装することは、コストの点でも合理的だ。FIDOキーは1個当たり約25ポンド(約4000円)。認証アプリを備えたスマートフォンが1台当たり約500ポンド(約8万円)であることを考えると非常に手頃な価格だ。Googleは既にFIDO U2F認証を全社に実装している。同社は全従業員に物理セキュアキーの使用を義務付けているため、全てのフィッシング攻撃に終止符を打ったとさえ主張している。
おわびと訂正(2022年6月29日)
当初「約500ポンド(約8000万円)」としていましたが「約500ポンド(約8万円)」の誤りでした。おわびするとともに訂正致します。
エンジニアはセキュリティが確保される最新技術によってセンシティブな情報を確実に保護するために、必要な手順を全て実行する必要がある。
ジェイソン・ケント氏はOpen Seasのディレクター。
Copyright © ITmedia, Inc. All Rights Reserved.