2021年日本で「認証維新」が始まる
パスワードのみの認証から脱却し、MFA（多要素認証）が必須化に

　2001年に起こったアメリカ同時多発テロ事件によって、空港での「セキュリティチェック」は非常に厳しくなりました。そして20年たった今年2021年、新型コロナウイルスの影響による在宅勤務の普及からクラウドサービスの活用が増加したことに伴い、ランサムウェアを含む攻撃が増加。クラウドサービスへの「セキュリティチェック」となるユーザー認証はさらに厳しくなることでしょう。

　2020年12月に発見された史上最悪のサイバー攻撃であるSolarWinds事件はその一例です。

　在宅勤務の普及で社内で使われていたIPアドレス制限が利用できないため、自宅からクラウドサーバーへアクセスする際の制限を「パスワードのみ」の非常に弱い認証にしていたことが、一つの要因となり引き起こされたと考えられるでしょう。この事件をきっかけに今後は在宅勤務でクラウドサービスへのアクセスはパスワードのみでなく、2つ以上の「要素」によって認証を行うMFA（Multi-Factor Authentication：多要素認証）が広がることが見込まれます。米国政府は国家レベルのサイバー攻撃に対する措置を近日発表する予定であり、現にクラウドサービス会社からは認証強化の対策がすでに始動、Salesforceは来年2022年2月1日からサービスへのログインにはMFAを必須とすることを今年2021年2月1日に発表しました。

　そこで今回は、パスワードのみの非常に弱い認証によって引き起こされたSolarWinds事件を振り返りながら、MFA必須化の流れに対応し備えていけるよう、その認証方式によってセキュリティレベルが異なるMFAの弱み強みをご紹介します。

世界的にMFAを行うきっかけとなる事件――SolarWinds事件の全貌

事件の概要とは
　17,000社まで影響が及んだとされている歴史上最大のサイバー攻撃は、2019年9月に攻撃の準備を始め、2020年3月にマルウェアを展開、そして2020年12月にファイア・アイ社に検知されるまでの9ヶ月の間、攻撃者は静かに企業のデータを盗み出し外国へと送信していたのです。

目的
　攻撃者は、主にCEOやCTOなどの経営層や高官を標的とし、そのメールアカウントに侵入、メールや添付ファイルなどのデータを米国内の踏み台サーバー経由で外国へ転送していました。最終的な目的は、得られた情報を足がかりに次なる攻撃に利用することだと思われます。

攻撃の手口（ターゲットサーバーとC&Cサーバーを用いて被害者を解析）
　攻撃者はサプライチェーン攻撃の手法を用いていました。OrionというSolarWinds社のIT管理ソフトやリモート監視ツールの開発を行うソフトウェアの更新にSunburstというバックドアを書き込み、Sunburst経由でADFS（Active Directory Federation Services）サーバーを乗っ取りました。そしてSAMLトークンを偽造し、Office 365 に自由にアクセスできるようなっていたのです。このSSOを突破できる攻撃（Golden SAML）は2017年に発見されていました。この手口から、オンプレミスのレガシーサーバーを標的としたということがわかります。実際にADFS認証サーバー経由でクラウドにある Office 365 に侵入され、米国内にサーバーを借りて攻撃（C&Cサーバー）を行うことで、被害者の規模、業種、戦略的な価値を解析し、防衛ツールを停止、さらに深く侵害するかどうかを判断していました。

攻撃の規模
　これまでに類を見ない17,000社に被害が及んだとされ、実際に攻撃を受け侵入されていたのは米国の主な9つの連邦政府機関や大手IT企業を含む約100社の企業だということが分かっています。

事件発見の流れとは――MFA突破が問題、そして認証強化へ
　SolarWindsを悪用した攻撃を最初に発見したのはファイア・アイ社でした。

　CEOのケビン・マンディア氏によると（動画）「攻撃者が管理者権限を持ち、従業員のIDとパスワードを盗み、外部からVPNへのアクセスに必要な追加の認証要素となるスマートフォンの登録がされたことをセキュリティ専門チームが検知した」とのことです。

　また、「ファイア・アイ社の社内ルールでは、従業員が追加の認証要素となるスマートフォンを自己登録できないようにしていますが、例外的に登録できるようになっていたことで、攻撃者が自身のスマートフォンを新規登録できていた」とのことです。

　この事件は先に挙げたようにパスワードのみの非常に弱い認証が一つの原因となり引き起こされ、そして検知にいたってはMFAの要素までもが登録できるようになっていたことが問題となっています。

　そのため、同じ被害を出さないために世界的に認証強化への取り組みが進んでいます。その一つがクラウドサービスを提供するSalesforceのMFA必須化です。ここから様々なクラウドサービスがMFAの必須化を行なっていくことが予測されるため、複数のクラウドサービスへ1度の認証でアクセスできるSSOサービス（シングルサインオンサービス）においてもMFAは必須にしなければいけないと考えています。

MFA（多要素認証）――認証「要素」によって異なるセキュリティレベル

　MFAは、2つ以上の「要素」によって行う認証を指します。パスワードを含むMFAのセキュリティレベルは利用する認証方式によって様々です。

　二要素目の認証方式としてSMSコードやワンタイムパスワードを発行するアプリを使った認証からスマートフォンの指紋や顔といった生体情報を使った認証まで幅広くあります。そして、先のSolarWinds事件でも挙げたように、一概にMFAを利用しているから安全だとは言い難くなってきています。

SMS、ワンタイムパスワード（OTP）のMFA
　SMSコードのMFAは、数字の認証コードがショートメッセージで送られ、そのコードを入力し認証を行うという方法です。OTPは、スマートフォンのアプリが生成するコードをログイン画面にパスワード入力後に入力し認証を行う方法です。

　これらは現在でも広く利用されている認証方式となりますが、実際に2016年の米国大統領選挙におけるクリントン氏のキャンペーンではSMSでのMFAが突破されており、OTPはパスワード入力画面と同じ画面に入力するため、フィッシングによって攻撃者に盗まれるという危険をはらんでいます。

スマートフォンアプリを使ったMFA
　このMFAではPCログイン時、パスワード入力後に、スマートフォンでそのログインを承認するか否かをアプリケーションの通知によって確認する方法です。ここで安全性を確保するために、承認時にスマートフォンで指紋や顔といったユーザーの生体を利用するかどうかが重要なポイントとなります。

FIDO2のセキュリティキーを使ったMFA
　FIDO2のRoaming Authenticator（ローミング認証器）として使用できる、セキュリティキーと呼ばれるハードウェアトークンがあります。PCログイン時に、パスワードを入力後、セキュリティキーをUSBポートに差し込み認証を行います。ユーザーの確認はタッチ、あるいは指紋認証で行います。

FIDO2のEmbedded Authenticators（生体やPINコードなど）を使ったMFA
　専用的なハードウエアが内蔵されているWindows10のPC、macOS Big Sur、iOS14/iPadOSのiPhone/iPad、そしてAndroidのスマートフォンやタブレットはFIDO2対応のセキュリティキーと同様の機能であり生体認証を利用できるMFAとして挙げられます。ここには、パスワードを使わないパスワードレス認証も含まれます。

　いくつかのMFAの認証方式を挙げましたが、ここで推奨するMFAは生体情報を利用するスマートフォンアプリを使ったMFA、そしてセキュリティキーを含むFIDO2の認証器を使ったMFAです。パスワードが漏洩したとしても、ネットワーク上に情報が流れないFIDO2やリモートからの窃取が難しい生体情報を利用することで認証はさらに強化されると考えています。

MFA、そしてパスワードレス――認証の概念を変える「認証維新」

　SolarWinds事件からパスワードのみの認証がどれほどまでに危険をはらんでいるのか、最も大きな被害を受けた米国ではその対応が急務となり、大手クラウドサービスであるSalesforceはMFAの必須化を発表しました。しかし、SolarWinds事件でわかることがもう一つあります。それは、攻撃者がMFAとなる認証要素までも登録できるようになっていたということです。つまり、認証をMFAに変えることだけでセキュリティが高くなるとは言い難くなっており、SolarWinds事件から安全なMFAを利用するニーズは高まっています。

　私たち、ISRは「安全かつ便利な認証を（Secure Yet Easy to Use Authentication)」というビジョンをもとに、パスワードに依存しない安全な認証の標準化を目的として2012年に発足したFIDOアライアンスに2014年から加盟しています。そして2015年には日本で最初のMFAソリューションであるスマートフォンの生体認証機能を使った専用アプリケーションCloudGate Authenticatorの提供を始めました。さらに2019年5月からは企業向けクラウド型認証サービスCloudGate UNOでFIDO2に対応したパスワードレス認証の提供を開始しました。

　新型コロナウイルス時代が続き、在宅勤務の際にIPアドレス制限の利用ができない状況下において、パスワードのみの弱い認証の代わりにCloudGate Authenticatorを含むMFAソリューションを提供していきます。

　近年のサイバー攻撃は巧妙な手口が多くなり、この史上最大のサイバー攻撃が起こったことで認証強化を行うことが当たり前の時代がくると考えている一方で、従来まで当たり前に利用していた認証方法であるパスワードを使わない、パスワードレス認証にすぐに切り替えることは容易なことではないと考えています。

　しかしながら、日々迫る多くのサイバー攻撃を予測することは不可能とも言えます。そのため、ISRは複数のクラウドサービスへの入り口を担うCloudGate UNOを提供する会社として、まずは安全性の高いCloudGate AuthenticatorやFIDO2を利用した認証を推奨し認証の概念を変革する、そう、坂本龍馬が日本の変革に尽力し明るい時代となった明治維新のように、「認証維新」を起こし、パスワードのみの認証がもたらすサイバー攻撃から日本を守るために努めていきます。