ニュース

米国でのサイバー攻撃事例を踏まえFIDO2認証の重要性を強調――、インターナショナルシステムリサーチ

 株式会社インターナショナルシステムリサーチ(以下、ISR)は、最新のサイバーセキュリティ動向に関する記者説明会を3月9日にオンラインで開催した。今回の説明会では、ISR代表取締役のメンデス・ラウル氏が、2020年に米国で起こった「SolarWinds事件」と「米国大統領選挙」におけるサイバー攻撃の事例を踏まえ、2021年、企業に求められるサイバーセキュリティ対策としてFIDO2認証による認証強化の重要性について説明した。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 まず、2020年に米国で起こった「SolarWinds事件」とは、米SolarWindsが提供するネットワーク監視・管理製品「Orion Platform」を悪用した大規模サイバー攻撃事件で、同製品の更新ソフトウェアをダウンロードした約1万7000社に影響が及んだとされている。実際に攻撃を受け侵入されていたのは、米国の主な9つの連邦政府機関や大手IT企業を含む約100社の企業であることがわかっている。

 ISR代表取締役のメンデス・ラウル氏は、攻撃者の手口について、「SolarWindsのCEOの証言によると、攻撃者は少なくとも2019年12月までに同社のOffice365のアカウントの1つにアクセスし、その後、ほかのアカウントに展開していったという。最終的には開発環境への侵入に成功し、2020年3月から配布されたOrionのアップデート版にSunburstというマルウェアを書き込んでいた」と解説した。

「SolarWinds事件」におけるサイバー攻撃の概要図

 もう一つの「米国大統領選挙」にかかわるサイバー攻撃事件は、2016年3月、キャンペーンマネージャーであったジョン・ポデスタ氏のGmailアカウントのパスワードが盗まれ、クリントン氏に不利な情報となるメールが流出。クリントン氏のイメージダウンにつながり、敗戦した要因の一つとなった。この事件を教訓に、民主党全国委員会は、2020年の大統領選挙では、新たなセキュリティ対策としてFIDO2認証を導入。サイバー攻撃の被害を受けることなくバイデン氏を当選へと導いた。

 「SolarWinds事件」と「2016年の米国大統領選挙」の2つのサイバー攻撃事件の共通点について、ラウル氏は、「どちらの事件も、攻撃者がパスワードを含むクレデンシャル情報を窃取したことが原因となっている。また、攻撃者に多要素認証が突破され、社内システムに侵入されたことも共通の問題点といえる」と指摘。「こうした米国でのサイバー攻撃事例を踏まえて、2021年は、認証強化対策としてFIDO2を利用することが重要になる」と訴えた。

 FIDO2は、パスワードに依存しない認証方式として、2018年に導入された最新のFIDO認証仕様。パスワードの代わりに、生体認証またはPINを使用して、オンラインでログインを行うことができる。特に、フィッシングなどの攻撃に対しては、「利用者とサーバーで秘密を共有しない」FIDO2認証が有効となる。現在、Google ChromeやMicrosoft Edge、 Firefox、Safariなどさまざまなブラウザでサポートされている認証器としては、Windows HelloやGoogle Play開発者サービス(Android)、TouchID/FaceIDといったプラットフォーム認証器のほか、外部認証器も多く登場しているという。

FIDO2認証の概要

 ラウル氏は、ISRのFIDO2への取り組みとして、「当社では、クラウドサービスへのアクセス制限とシングルサインオンを同時に実現するマルチクラウドSSOサービス『CloudGate UNO』を提供している。『CloudGate UNO』は、ユーザー認証機能として、FIDO2によるパスワードレス認証に対応しており、ゼロトラストの考えに基づいた認証アーキテクチャの設計と運用を実現することができる」と説明。「2021年は、『CloudGate UNO』を通じて、FIDO2の普及活動に力を注ぎ、“暗いパスワード時代から明るいパスワードレス時代へ”転換する『認証維新』を推進していく。そして、一つでも多くのサイバー攻撃による被害拡大を阻止するためにも、日本をパスワードから解放し、企業の情報資産を守ることに努めていく」との考えを示した。

ゼロトラストの考えに基づいた「CloudGate UNO」の運用
過去の記者会見で登壇したメンデス・ラウル氏