トピック

バイデン氏の当選を決めたFIDO認証 鍵はフィッシングメール対策

2020年の米国大統領選挙で当選したジョー・バイデン氏が、2021年1月20日に第46代米国大統領に就任しました。今回の選挙の鍵は、電子メールアカウントのユーザー認証にFIDO準拠のセキュリティキーを用いた多要素認証が利用されていた点です。

このおかげで米国は認証新時代を迎えました。

このブログでは、2016年の米国大統領選挙キャンペーンで起こったDNC(民主党全国委員会: Democratic National Committee)への外国からの攻撃を振り返りながら、バイデン氏勝利の鍵となったセキュリティキーを利用したFIDOの多要素認証についてご紹介します。

2016年米国大統領選挙 世界を変えた一つのフィッシングメール

米国だけでなく世界を揺るがしたドナルド・トランプ氏の大統領当選は、一つのフィッシングメール(信者を詐称した電子メールを送りつけたりなどし、アカウント情報などといった重要な個人情報を盗み出す行為)から始まっていました。このメールが世界を変えたとも言えるでしょう。

2016年3月10日、攻撃者は最初に29通のフィッシングメールをDNCの電子メールアドレスに送っていたのですが不発に終わったため、同年3月21日に選挙キャンペーンマネージャーのジョン・ポデスタ氏(John Podesta)の個人のGmailアドレスに目を向け、標的を変えました。同日、Gmailアカウントを装ってパスワードリセットの通知を受け取ったポデスタ氏は、偽装されたURLをクリック、パスワードを入力し変更作業を行いました。これにより、攻撃者はポデスタ氏の電子メール(5万件)を窃取しました。その中には、ヒラリー・クリントン氏が証券会社や金融業などのウォール街企業から$220,000(約2200万円)という高額な講演料で受領したことを伝える電子メールも含まれていました。

ジョン・ポデスタ氏に送られたパスワード変更要求メール:WikiLeak「This email has also been verified by Google DKIM 2048-bit RSA key」より引用

攻撃者はこれらの情報を公表し、これが複数のメディアで広く報道されることになったのです。クリントン氏はこのときのイメージダウンを回復することができず、このことによって、2016年11月8日の選挙でトランプ氏に負ける結果に繋がったのです。

攻撃者が個人の電子メールアカウント侵入に成功した大きな要因は、パスワードの他に二要素目として携帯電話に届く生成されたコードの入力が必要なDNC電子メールアカウントではなく、パスワードのみの認証が設定された個人のGmailを標的としたからです。

ポデスタ氏は自身のせいで世界を変えたこのフィッシングメールの事件についてとても反省しています。キャンペーンの生命線ともいえる重要な情報のやりとりをする電子メールアカウントをなぜ、パスワードのみで守れると考えてしまったのかということを。

2020年米国大統領選挙 バイデン氏勝因の一つは"FIDOによる強固な認証"

パスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として、GoogleやマイクロソフトなどIT大手企業が参加するFIDOアライアンスが2012年に設立しています。2014年にはFIDO仕様の認証方式U2Fプロトコル、そして2019年にはFIDO2を設計し、これをWeb技術の標準化を行う非営利団体W3Cが、WebAuthnを正式勧告したことで世界標準となる次世代パスワードレスが誕生しています(U2FはFIDO2に含まれるため、以下U2Fを含みFIDO2と記載)。

一方で、2016年の選挙の勝敗を決めたフィッシングメールによる攻撃から守るため、GoogleはFIDO認証を導入、2017年10月17日にはGmail Advanced Protection Program (APP)を開始しました。そして2019年の大統領選挙キャンペーンでは、同社が非営利団体DDC(Defending Digital Campaigns)との連携により、政府に無料でセキュリティキーを配布しています。

DNCはボブ・ロード氏を最高セキュリティ責任者として任命

DNCは2016年のトランプ氏の勝利を受け、2017年より外国からの攻撃から情報を守るためサイバーディフェンス強化するための投資をし、DNCは翌年1月にボブ・ロード氏(Bob Lord)を初めて最高セキュリティ責任者として採用しました。

ロード氏は、ヤフーの最高情報セキュリティ責任者として、ヤフーユーザー数十億人への電子メールアカウント攻撃対応など豊富な経験を持っています。ロード氏は、ヤフーの攻撃者を特定しFBI調査に協力、カナダで捕まった事件関与のフリーランスハッカーの裁判にも証言者として証言台に立っています。

DNCはAPPの導入で、サイバー攻撃を防止

ロード氏は、2018年9月にGoogleのAPPをDNCでも導入することを決定しました。
DNCで勤務する人だけでなく、その家族や関係者などの個人GmailアカウントもAPPに対応させ、DDCが選挙キャンペーンに無料でFIDO準拠のセキュリティキーを提供したことで、ログインする際、パスワード入力に加えた2段階認証の多要素認証を実現しました。

ロード氏が2年間でDNCのスタッフにフィッシングメールなどへの攻撃対応訓練やサイバー教育を行いながらも、FIDO準拠のセキュリティキーを使った2段階認証の徹底化に取り組んだことで、2018年の米中間選挙や2020年の大統領選挙では、選挙キャンペーンマネージャーの電子メールアカウントは侵害されず、またロード氏のDNCサイバーセキュリティチームもサイバー攻撃を受けることなく守ることができたのです。

そして2021年1月20日に始まったバイデン政権は、FIDO準拠のセキュリティキーを引き続き利用しています。

パスワードレス認証、そして「認証維新」

2020年に行われた米国大統領選挙でのバイデン氏選挙キャンペーンにおいて、多要素認証の利用を徹底化したことにより、多くの人がその重要性を認識したのではないかと考えています。その一方でISRは「安全かつ便利な認証を(Secure yet Easy to Use Authentication)」のビジョンを基に日本での認証強化に長年実績を蓄積しながら努めてきました。そして、FIDOアライアンスに2014年に参加しています。

企業向けクラウド型認証サービスCloudGate UNOを通じ、2015年には多要素認証としてスマートフォンの生体認証機能を利用した専用アプリの提供を始めました。また、2019年からはセキュリティキーやWindows、Macbookによる顔認証や指紋認証を利用したパスワードレス認証を提供。2020年12月にはFIDO2に対応したTouch IDやFace IDといったスマートフォンやiPadを使った認証もいち早く企業に提供しております。

さらに多要素認証であっても、侵害に利用されやすいパスワード自体使わない、サイバー攻撃に強い耐性のある、早くて正確なFIDO2による生体認証への変革が企業にも重要だと考えています。なぜなら、2016年の米大統領選挙にも大きな影響を及ぼしたフィッシングメールの対策として効果があるからです。そして、ISRは「認証維新」と呼び、一つでも多くのサイバー攻撃の被害拡大を阻止するために、2021年からパスワードに依存しない認証を広げ、日本の企業における認証の維新に努めていきます。