トピック
米国でのサイバー攻撃、その教訓から学ぶべきFIDO2認証の重要性とは
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
代表取締役社長 メンデス・ラウル
2021年3月22日 09:00
2020年に起きたSolarWinds事件では、Orionの更新ソフトウェアをダウンロードした約17000社に影響が及んだとされていますが、実際に攻撃を受け侵入されていたのは米国の主な9つの連邦政府機関や大手IT企業を含む約100社の企業だということが新たにわかりました。海外からのサイバー攻撃として、今なお米国議会が関係各社を巻き込み原因や対応策などの究明を続けています。
一方で、2020年大統領選挙においては、2016年の海外からのサイバー攻撃の教訓をもとに対策を行ったDNC(民主党全国委員会)は被害を受けることなく、バイデン氏が当選しました。この米国で起きた2つの出来事を踏まえて、サイバー攻撃の手口からその対応策としてなぜFIDO2認証が重要であるのかを紐解いていきます。
SolarWinds事件が浮き彫りにした多要素認証の問題
事件の概要
SolarWinds社のCEOによると、攻撃者は少なくとも2019年12月までに同社のOffice 365のアカウントの1つにアクセス、その後他アカウントに展開したとのことです。そして最終的には開発環境への侵入に成功し、2020年3月から配布されたソフトウェア「Orion」のアップデート版にSunburstというマルウェアを書き込んでいました。
攻撃者はどういった手口を使ってOffice 365まで侵入したのでしょうか
Microsoft社プレジデントのブラッド・スミス氏は米国議会において、攻撃者の手口について「攻撃者はまるで泥棒が家の中の金品だけでなく車も盗むために車の鍵を探すかのように、他の環境へのアクセスを進めてOffice 365 などのクラウドのリソースにまでも手を伸ばしていた」と述べています。
つまり、攻撃者はこのマルウェアが書き込まれた更新ソフトウェアをダウンロードした企業のWindowsサーバー(ADFS:オンプレミスの認証サーバー)を侵害してオンプレミスでクレデンシャル情報を盗み、Office 365まで様々な手段を使って侵入していました。その一つとして、取得した情報から認証サーバーの管理者権限を使ってSAMLトークンの秘密鍵を窃取、SAMLトークンを偽造したことで多要素認証を回避し、Office 365サーバーに直接アクセスするという手段が使われていました。
どのようにこの事件は発見されたのでしょうか
2020年3月から9カ月間にわたり続いていた侵入は、2020年12月にファイア・アイ社が攻撃を検知したことで発見されました。
ファイア・アイ社CEOのケビン・マンディア氏は事件の検知について以下のように述べています。
「ファイア・アイ社では従業員がVPNにアクセスする際、IDとパスワードを入力すると登録されているスマートフォンに固有のコードを生成し、そのコードを入力するという多要素認証を利用していましたので、当社のセキュリティチームのエンジニアは攻撃者が追加のスマートフォンを登録しようとした時に疑いを持ったわけです。そして、そのエンジニアが該当の従業員に確認したところ『新しいデバイスの登録はしていない』とわかり、この一連の事件が発覚しました」
つまり、攻撃者はSunburstマルウェア経由でファイア・アイ社内のサーバーに侵入して盗んだ従業員のIDやパスワードなどの特定情報を用いることで、自分のスマートフォンを認証の第二要素として追加登録することが可能となっていたのです。
米国大統領選挙でのサイバー攻撃対策はFIDO2認証
2016年米国大統領選挙の事件の概要
2016年3月、キャンペーンマネージャーであったジョン・ポデスタ氏のGmailアカウントのパスワードが盗まれたことにより、クリントン氏に不利な情報となるメールが流出しました。このことがクリントン氏のイメージダウンに繋がり、敗戦した要因の一つとなったと考えています。
攻撃者はどういった手口を使ってポデスタ氏のパスワードを窃取したのでしょうか
2016年3月19日、ポデスタ氏は「no-reply@accounts.googlemail.com」というメールアドレスから、ウクライナの誰かがパスワードを侵害したことを通知するメールを受け取りました。そのメールにはパスワードを変更するためのリンクが含まれており、ポデスタ氏はリンクのURLをクリックしてパスワードを入力し、変更の手続きを行いました。この1通のフィッシングメールによりポデスタ氏のパスワードは盗まれ、クリントン候補とウォール街企業の巨額な講演料についてのメールのやり取りが漏れて明るみに出ることとなりました。
また、2016年の春にはDNCが導入していた多要素認証システム(スマートフォンにSMSで届いたコードをPCに入力する認証)が破られ、DNCスタッフ幹部などのメールアカウントに侵入されています。
DNCはどのような対応策をとったのでしょうか
2016年の失敗を受け、2017年にDNCはボブ・ロード氏をCSO(最高セキュリティ責任者)として採用しました。
2018年のDNCの公式発表の中で、以下のようなロード氏の発言が記載されています。
「サイバー攻撃を受けることは不運なことというよりは、私たちの業務において真の脅威になるものです。私たちの使命である『全米から民主党員を選出すること』を妨げようとしている攻撃者から、私はDNCの新しい同僚たちを守るために取り組んでいます。また、私の業務は建物の正面玄関を守ることだけに止まらず、私たちのチームは締約国と協力し、攻撃者の経済状態を変えていくため、情報セキュリティ戦略とその展開を更新していきます。」
ロード氏は2017年にFIDO2準拠のセキュリティキーを使ったGoogleのAdvanced Protection Programを導入し、DNCは2018年の米国議員選挙では海外のハッカーからの攻撃に耐えることができました。そして2020年の大統領選挙でも引き続きFIDO2準拠のセキュリティキーを用いた認証方法を採用していたバイデン氏の当選に繋がったと考えています。
ロード氏が導入したFIDO2認証とはどのようなものでしょうか
このFIDO2とは、パスワードに依存しない認証方法のことであり、これにより安全なパスワードレス認証が可能となります。生体情報やPINコードなど認証に必要な情報はスマートフォンやICカード、セキュリティキーといったローカルの認証器に保存される仕組みとなっているため、ネットワークからはアクセスすることができず、攻撃者が窃取することは極めて難しいとされています。
サイバー攻撃を避ける方法ーパスワードレス認証、そして「認証維新」
SolarWinds事件と2016年の米国大統領選挙におけるサイバー攻撃の共通点として、攻撃者がパスワードを含むクレデンシャル情報を窃取したことが原因となっていることのほか、多要素認証が突破されていることが挙げられます。もし2016年の米国大統領選挙の教訓を生かした認証強化の対策を行い、そしてFIDO2を利用していたならば、このような侵入を防ぎ他のリソースまで被害が広がることはなかったと考えています。
ISRは「安全かつ便利な認証を(Secure Yet Easy To Use Authentication)」というビジョンをもとに、パスワードに依存しない安全な認証の標準化を目的として2012年に発足したFIDOアライアンスに2014年から加盟しています。そして2015年にはスマートフォンの生体認証機能を使った専用アプリケーションCloudGate Authenticatorを提供、2019年5月からは企業向けクラウド型認証サービスCloudGate UNOでFIDO2に対応したパスワードレス認証の提供を開始しました。
2021年以降、従来のパスワードを使用する認証からパスワードを使用しない(パスワードレス)認証への変革が急速に進むと考えており、暗いパスワード時代から明るいパスワードレス時代へ転換するという意味で、私たちはこの変革期を「認証維新」という言葉で表現しています。
そして一つでも多くのサイバー攻撃による被害拡大を阻止するためにも、日本をパスワードから解放し企業の情報資産を守ることに努めていきます。