本当に安全な「多要素認証」とは？ MFA基本要素と巧妙化する攻撃への対抗手段：MFA認証要素の違いと設計方法【前編】

巧妙化する攻撃からアカウントを守るには、認証要素の強弱を押さえた上で多要素認証（MFA）を設計することが重要だ。MFAの主要認証要素の比較や、フィッシング耐性のあるMFAについて解説する。

[Karen Scarfone，TechTarget]

　多要素認証（MFA）はパスワードや生体情報など複数の認証要素を組み合わせることで、正規ユーザーが正しいアカウントにアクセスできることを保証すると同時に、攻撃者が盗み取った認証情報を悪用することを防ぐ役割を果たす。

　企業のセキュリティチームは、ユーザーアカウントの保護にMFAを採用する前に、その実装方法を慎重に評価する必要がある。特に近年は、ソーシャルエンジニアリング（人間の心理的な隙を突く攻撃手法）や認証情報を狙った攻撃がますます巧妙化しており、こうした脅威からユーザーを十分に保護するには、より強固なMFA方式の採用が求められる。

　さまざまな認証要素の強度を精査した上で、MFAの全社展開を計画することが不可欠だ。フィッシング攻撃に対して高い防御効果を発揮し、かつ認証に使用されるデバイスやツールの不正使用を最小限に抑えられる認証要素を選択する必要がある。

　以下では、代表的な認証要素の例や、MFAのビジネスでの活用事例、さらに全ての企業が従うべきベストプラクティスを取り上げ、MFAの現状とその果たす役割を評価する。

MFAの5つの主要認証要素

併せて読みたいお薦め記事

MFA強度の違い

• 「パスワード」どころか「多要素認証」（MFA）さえ“万全な保護策”ではない
• 同じ「多要素認証」でも使い方次第で“安全性は段違い”だった？

　全てのMFAツールは、ユーザーに対して少なくとも2種類の異なる認証要素を使用することを求める。認証要素は大きく次の3つのカテゴリーに分類できる。

• 知識要素
  • パスワードや暗証番号、PINなど、ユーザーが記憶している情報。
• 生体要素
  • 指紋、虹彩、顔など、ユーザーの身体的特徴。
• 所有要素
  • ハードウェアトークン、スマートカード、認証規格「FIDO2」準拠セキュリティキーなど、ユーザーが所持する物理的デバイス。

　MFAツールは、異なるカテゴリーの認証要素を組み合わせて使用しなければならない。例えば、パスフレーズ（長く複雑な文字列による認証）と顔認証を組み合わせるのは有効だが、パスワードとPINのように、同じ「知識要素」同士を組み合わせることはできない。

　理想的には、各認証要素が十分に強力であることが望ましい。しかし実際には、MFAにおける1つ目の認証要素はパスワードかPINである場合が多く、どちらもフィッシングなどの攻撃に対して脆弱（ぜいじゃく）になりやすい。従って、残りの認証要素はそれ以上に強固である必要がある。

　MFAで検討すべき一般的な認証要素として、以下が挙げられる。

パスワード、パスフレーズ、PIN

　パスワード、パスフレーズ、PINは、ユーザーを認証するための文字列や数字で構成される「知識要素」だ。3つとも単独では安全性が低く、フィッシングや総当たり攻撃（ブルートフォース攻撃）によって容易に突破される可能性がある。アカウントやアクセス権を保護するためには、これらと組み合わせる強力な第2要素または第3要素が不可欠だ。

ワンタイムパスワード（OTP）

　OTPは、ユーザーが受け取り、短時間だけ有効な使い捨てコードを別のシステムに入力して認証する仕組みだ。多くの場合、有効期限は30秒程度で、時間が経過すると自動的に更新または無効化される。以下のバリエーションがある。

• 電子メールOTP
  • 登録済みのメールアドレス宛にコードを送信する方式。操作は容易だが、ユーザーのメールアカウントが侵害された場合には攻撃を受けやすい。
• SMS OTP
  • 携帯電話宛にショートメッセージ（SMS）でコードを送信する方式。通信の盗聴やSIMスワップ攻撃のリスクが高く、安全でないことが広く知られており、MFAには推奨されない。
• 音声OTP
  • 電話音声でコードを通知する方式。SMSと同様の脆弱性を抱えており、安全ではないためMFAには推奨されない。
• 認証アプリによるOTP
  • 「Google Authenticator」や「Microsoft Authenticator」などのアプリケーションで生成され、特定のリソースと関連付けられる方式。電子メールやSMS、音声によるOTPよりも強力で、コードを入力する人物が実際にスマートフォンを所持していることを確認できる。ユーザーのデバイスが侵害されていなければ、比較的安全性が高い。

生体認証

1. ノートPCに内蔵された指紋認証センサーや、スマートフォンに搭載された顔認証スキャナーなどを利用する方式。認証が迅速でユーザビリティー（使いやすさ）に優れている一方で、絶対的な安全性を保証するものではない。外見の変化や指の切り傷、乾燥などの皮膚状態、光の加減などによって認証精度が低下する可能性がある。また、利用には生体認証機能を搭載したデバイスが必要であり、必ずしも全てのユーザーがこれらの機器を所持しているとは限らない。

位置情報に基づく認証

　ユーザーの物理的な位置情報を基に認証する方式。所定の場所以外からログインしようとすると、追加の認証が要求される。特定のオフィスやネットワークからのみアクセス可能にすることでセキュリティを強化できるが、出張や在宅勤務などでの利用時に不便が生じる可能性がある。また、セキュリティチームにとっても、位置情報ポリシーの管理や例外対応が複雑化することがある。

暗号認証

　ユーザーが秘密鍵（プライベートキー）を所有していることを証明する方式。代表的な例としては、物理的な暗号化ハードウェアトークン「YubiKey」（ワンタイムパスワードにも利用可能）がある。暗号認証は極めて強固だが、物理的なデバイスの所持が前提となるため、紛失や置き忘れのリスクがある。

フィッシング耐性のあるMFAと適応型MFA

　近年、多くのMFAは、セキュリティをさらに高めるためにフィッシング耐性のあるMFAや適応型MFAといった機能を搭載している。

フィッシング耐性のあるMFA

　FIDO2/WebAuthn認証（注）や、PKI（Public Key Infrastructure：公開鍵基盤）を利用したMFA方式など、MFAバイパス攻撃（MFAを回避する攻撃手法）を防ぐ認証プロセスを指す。代表的なMFAバイパス攻撃には、「プッシュ爆撃」（Push Bombing／MFA疲弊攻撃）、「SIMスワップ」「フィッシング」などがある。

※注：FIDO（Fast IDentity Online）は、認証関連の業界団体FIDO Allianceが策定したパスワードレス認証の規格群。WebAuthn（Web Authentication）はFIDO2をベースにしたWebブラウザ対応のパスワードレス認証技術で、公開鍵暗号方式を用いて安全に認証を行う。

適応型MFA（Adaptive MFA）

　アクセスしようとしているユーザーの行動や属性（アクセス元デバイス、位置情報、時間帯など）と、そのユーザーのリスクプロファイルに基づいて、認証の強度や手順を動的に調整する方式。例えば、通常と異なる国やIPアドレスからのアクセスが検出された場合には、追加の認証要素を要求してセキュリティを強化する。

---

　次回は、MFAのユースケースや設計時の考慮事項などを解説する。