ISR、「不正アクセスから認証情報を守るための対策」について説明　MFAを導入したセキュアなSSOサービスが重要に

　株式会社インターナショナルシステムリサーチ（以下、ISR）は24日、「パスワード管理ツールへの不正アクセス事件から考える、大切な認証情報を守るためにとるべき対策とは？」をテーマにした記者説明会を開催した。今回の説明会では、昨年米国で起こったパスワード管理ツールへの不正アクセス事件について解説するとともに、サイバー攻撃の被害を防ぐためにユーザーが行うべき対策について紹介した。

　説明会の冒頭では、まず、Verizonが昨年7月に発表した「2022年データ漏えい侵害調査報告書（Data Breach Investigations Report）」をもとに、米国におけるサイバー攻撃の最新状況を説明。レポートの中で特に注目した内容として、（1）人的要素がデータ漏えいや侵害の原動力となっている、（2）不正侵入の80％は外部からの侵入によるものである、（3）攻撃者のほとんどは金銭目当て、（4）Webアプリケーションへの攻撃が最も多い、（5）侵害による影響はWebアプリケーションサーバーとメールサーバーが上位――、の5つのポイントを挙げた。

　次に、パスワード管理ツールを提供する米LastPassが不正アクセスを受けた事件に関して同社が発表した声明などをもとに解説した。米LastPassは、昨年12月22日（米国時間）、本稼働データのバックアップを保存するために使用しているクラウドベースのストレージサービスに第三者が不正アクセスしたことを報告。これまでの調査により、侵入者は、昨年8月の開発環境への不正アクセスで得られた情報を利用して同社従業員から盗んだ認証情報とキーを使って、バックアップ用クラウドデータベースからパスワード管理ツールの顧客情報をコピーしていたことが明らかになったという。

米LastPassへの不正アクセス事件におけるインシデント公表の時系列

　この事件へのインシデント対応策について米LastPassでは、「バックアップデータが窃取された可能性はあるが、暗号化されているのでユーザーの情報は安全である可能性が高く、現在顧客が取るべき行動は特にない」との声明を出している。

　その理由としては、（1）ログインしたサイトのアドレスなど、ユーザーのデータ保管庫の一部は暗号化されていなかったが、ユーザー名やパスワードなどの機密データは暗号化されていた、（2）バックアップデータは各ユーザーのマスターパスワードから得られる固有の暗号化キーによってのみ復号化することが可能だが、マスターパスワードは同社に知られることはなく、また保存、管理されることもなかった、（3）顧客を保護するためにハッシュ化および暗号化手法を使用しているため、同社のパスワードのベストプラクティスに従っている顧客にとって、マスターパスワードを総当たり攻撃で推測しようとすることは非常に困難である――、といったことを挙げている。

　しかし、これに対してISRでは、「今すぐすべてのパスワードを変更する」、「2要素認証でセキュリティをさらに強化する」、「パスワードレス認証を導入する」など、ユーザーに推奨される行動は多くあると指摘した。

　一方、日本国内のサイバー攻撃の状況については、日本経済新聞電子版（1月22日付）の記事を引用しながら、「海外からのサイバー攻撃の矛先が日本に向かっている。実際に、警察庁がインターネット上に設置したセンサーで検知した1日1IPアドレスあたりの不審アクセス数は、2022年1月から6月の半年間で、すでに前年1年間の件数を上回る状況になっている。この理由としては、『ソフトウェアの脆弱性を修復するスピードが主要国で最も遅い』、『IT開発ベンダーへの丸投げが多く、当事者意識が希薄になりやすい』ことが挙げられる。また、近年は脆弱性が発見されてから修正ソフトが配布されるまでの間に攻撃をしかける『ゼロデイ攻撃』も増加している」との見解を示した。

警察庁による「インターネット上に設置したセンサーで検知した1日1IPアドレスあたりの不審アクセス数」の推移

　ISR 代表取締役のメンデス・ラウル氏は、こうしたサイバー攻撃の現状を踏まえたうえで、「これからは、『Security First』の考え方に基づいてサービスを作ることが重要になる。特に、ゼロデイ脆弱性を入り口としたサイバー攻撃があるという前提で開発・運用・サポートを行う必要がある。現在は、パスワード管理ツールもシングルサインオン（SSO）も、パスワードを暗号化して管理している企業が多いが、それだけでは十分とはいえない。パスワードのみの認証では、認証情報が窃取されるリスクがあるため、MFA（多要素認証）を導入したセキュアなSSOサービスを実現することが対策のカギになる」との考えを述べた。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　さらに、MFAを導入する際の注意点として、「使用する認証方式によってMFAのセキュリティレベルにも差が出てくる。例えば、SMSを利用したMFAはSIMカード攻撃に弱い。また、ワンタイムパスワード（OTP）やコード入力によるMFAはフィッシング攻撃に弱みがある」と指摘。「これに対して、ユーザーデバイス（ハードウェア）内蔵のニューロ回路チップを利用した、コード入力が必要ない生体認証はフィッシング攻撃に強い。また、一般ユーザー向けにGoogle、Apple、Microsoftが進めているパスキーは、FIDO規格に基づいたパスワードを使わないセキュアな認証となっている。今後は、認証情報を守るための対策として、この2つのMFAの導入が広がっていくだろう」との見通しを示した。

　ISRは、「Security First」の考え方に基づいた製品の開発・運用・サポートにいち早く取り組んでおり、同社のアイデンティティ管理プラットフォーム「CloudGate UNO」では、2021年からパスワードを利用しないFIDO規格に基づいた認証サービスを提供している。