ニュース
ISR、国内外の重大サイバー事件を例に多要素認証必須化への流れを強調
新たな“入り口対策”として多要素認証による認証強化が重要に
2021年4月21日 11:25
株式会社インターナショナルシステムリサーチ(以下、ISR)は、「2021年、サイバー犯罪によって世界は大きく変わる」をテーマにした記者説明会を4月20日にオンラインで開催した。
今回の説明会では、2020年11月に起こった国内大手電機メーカーへのサイバー攻撃など、近年の重大サイバー事件を振り返りつつ、世界でのMFA(多要素認証)必須化への流れについて、ISR代表取締役のメンデス・ラウル氏が解説した。
ラウル氏はまず、「今後のサイバーセキュリティ対策では、新たな『入り口対策』として、安全なMFAを利用した認証強化が重視されていく」と指摘。その背景には、2020年12月に米国で起こったSolarWinds事件、同年11月に起こった国内大手電機メーカーへのサイバー攻撃、2021年に起こった、Microsoft Exchange Serverの脆弱性を突いたサイバー攻撃という3つのサイバー攻撃事件があるという。
SolarWinds事件は、2020年12月8日にファイア・アイ社が攻撃を検知して被害が発覚した。攻撃者は、同社に侵入してクレデンシャル情報を窃取。Sunburstマルウェアが同社製品のOrionに埋め込まれ、利用者の正規アップデートで被害が広がった。被害件数は1万7000社とされている。ラウル氏は、この事件からの教訓として、「入り口の認証において、登録設定を緩めたことによる『すき』を突かれ、攻撃者の侵入を許してしまった。そのため、安全なMFAを利用して管理者権限も厳重にしておく必要がある」としている。
次に、国内大手電機メーカーのサイバー事件では、2021年3月、三菱電機が昨年11月に受けたサイバー攻撃について調査結果を公表した。攻撃者は中国にある三菱電機の子会社を経由して日本にある本社へ不正アクセスし、社員のアカウント情報を窃取。その情報を利用してOffice 365に不正ログインしていた。三菱電機では、Office 365の利用にあたって、独自の認証システムを導入した二段階認証を取り入れていたが、攻撃者は電子認証情報も入手して管理者ユーザーになりすましていたという。現在わかっているだけでも、約9700件の取引先情報や個人情報などが流出したとされている。
「三菱電機は、コロナ禍による在宅勤務導入後、当初はVPN経由で社内ネットワークに入り、Office 365にアクセスしていたが、外部からのアクセス集中によりVPNサーバーが容量オーバーとなり、『ログイン待ち』が発生してしまったという。これを回避するため、一般的なアクセスについては、一度認証を受ければ、VPNを経由せずにOffice 365に直接アクセスできるように認証方法を変更。このことで、外部からのアクセスに対するセキュリティが弱くなっていたことに加え、二段階認証までもが突破されたことが、今回の事件における問題点といえる」(ラウル氏)。
そして、直近のサイバー事件として、今年1月からExchange Serverの脆弱性を突いたサイバー攻撃で、世界中の数十万台が攻撃を受けているという。ラウル氏は、攻撃の手順について、「攻撃者は、盗んだパスワードや、アクセス権限のある者になりすますことができる未知の脆弱性により、Exchange Serverにアクセス。侵入したサーバーをリモートからコントロールできるWebシェルを作成し、組織のネットワークからデータを盗み出している」と説明。「この事件での教訓は、侵害された最初のステップの一部として盗んだパスワードでアクセスされていることから、パスワードのみの認証を信頼しすぎている従来の考え方を変える必要がある」と訴えた。
これら3つのサイバー事件の共通点として、ラウル氏は「『パスワード』という弱い認証方式から発生し、一部のセキュリティ強度が高くないMFA、また環境変化によって管理設定を緩めていた『すき』を突かれた攻撃だった」(ラウル氏)ことを挙げ、こうした状況から、今後、新たな入り口対策として安全なMFAの利用による認証強化が重要になるのだと強調した。
すでに、世界ではMFAの重要性を見直す動きが出てきており、Salesforceでは、2022年2月1日から、自社クラウドサービスに直接もしくは連携しているSSOサービス経由でログインするときにMFAを必須化することを発表している。
一方で、MFAを利用する際には、そのセキュリティレベルを見極めることも必要になるとラウル氏は指摘する。「MFAには、2つ以上の要素を組み合わせたさまざまな認証方式が存在するが、その認証方式によってセキュリティレベルは異なる。最近では、パスワードと合わせてSMSやワンタイムパスワード(OTP)を使用するMFAも一般的になっているが、2016年の米国大統領選挙ではSMSでのMFAが突破され、OTPはパスワード入力画面と同じ画面に入力するため、フィッシング攻撃の対策として十分とはいえない」と述べた。
そこでISRでは、生体情報やFIDO2を使った、より安全で便利なMFAの認証方式を推奨しているという。具体的には、生体情報を用いたスマートフォンアプリの認証ソリューション「CloudGate Authenticator App」や、FIDO2対応の外付け型認証器「FIDO2:セキュリティトークン」、プラットフォーム認証器「Touch ID・Face ID/Windows Hello」などを提供。「2021年は、これらのMFAソリューションによって“認証維新”を起こし、パスワードを利用するという認証の概念を変革していく」(ラウル氏)との考えを示した。