Withコロナ時代にはワクチン、
Withランサムウェア時代には多要素認証で脅威から身を守る

　新型コロナウイルスの収束がみられないまま2年目に突入した2021年、日本はデルタ株の影響などにより夏頃に感染が拡大し苦労しましたが、ワクチン接種率が全人口の70％を超えた秋以降は感染者数が減少し落ち着きを見せていました。しかしながら、2022年は日本でも新たな変異株であるオミクロン株が広がり、Withコロナ時代の長期化と在宅勤務の拡大が考えられます。

　そのような状況においては、企業のシステムへアクセスするユーザーやパソコンが正規かどうかを見分けることが困難となり、昨年日本でも急増したランサムウェア攻撃が今年も威力を増していくでしょう。

今回は、進化するコロナウイルスに対抗するためのワクチンのように、進化し、威力を増しつつあるランサムウェア被害に遭わないためのセキュリティ対策となるMFA（多要素認証）についてご紹介いたします。

2022年も続く「Withコロナ」の生活

ワクチンは新型コロナ収束のカギになる
　ワクチンはいまだ全世界に行き届いておらず、インドのデルタ株や南アフリカのオミクロン株のように日本から遠く離れたところで変異株が発見され、日本にもその感染拡大の波が押し寄せてきています。ウイルスは進化を続けており、このパンデミックが収束するにはまだ時間がかかるでしょう。

　アメリカでは1月12日時点で直近7日間に500万人の感染が確認されており、その大半がオミクロン株と推定されています。3回目のワクチン接種が完了している場合は比較的軽症で済むとされていますが、接種してない場合は重症化や入院の可能性が高まります。アメリカやイギリスと比較して日本は3回目のワクチン接種が遅れているため、今後オミクロン株の流行により非常事態宣言が発令される可能性がないとは言い切れません。

在宅勤務は継続、さらに拡大の見込み
　新型コロナウイルスの感染が拡大しはじめた2020年3月から現在までの約2年の間に、日本では感染拡大防止の観点からリモートワーク、つまり在宅勤務という新しい働き方が定着しました。世界的な収束が見えていない以上、在宅勤務は継続的に実施され、さらに拡大していくと考えられます。

　一方で、在宅勤務を導入している企業のセキュリティ対策はどうでしょうか。これまでと同様にVPNを利用して社内サーバへのアクセスを行っている場合、ユーザー本人かどうかや、どのデバイスを使用しているのかなどの特定が困難な遠隔からのアクセスを許すことになります。海外にいる第三者であっても隙を突いてアクセスすることが可能となり、このような状況を悪用したサイバー攻撃は急速に増えてきています。

　例えば、SolarWinds社・Fire Eye社へのサイバー攻撃、Colonial Pipeline社や徳島県内の町立病院へのランサムウェア攻撃といった事件ではすべて、攻撃者がVPNの認証システムを破って社内のネットワークへ侵入に成功していました。

サイバー攻撃の増加 - 「Withランサムウェア」の時代

2022年、ランサムウェアによるサイバー攻撃は増加
　この2、3年の間にランサムウェアによるサイバー攻撃は進化を遂げています。ランサムウェアを開発して提供する側と、ランサムウェアを利用してターゲットに侵入する「アフィリエイト」に役割を分け、成果報酬を分配するRaaS（Ransomware as a service）という新しいビジネスモデルが登場し、大規模なビジネスになりつつあります。2021年は日本でもランサムウェアによる攻撃が多くみられ、大小さまざまな企業や自治体、病院にまで被害が及んでいます。

　また、ランサムウェア攻撃に限らず、日本国内では数多くの不正アクセスが発生しています。2021年1月から12月の間に企業または報道機関より発表された情報をもとにISRが独自に集計しただけでも、約260件の不正アクセスを確認しました。被害に遭っていても公表していない場合や、攻撃を受けたことに気がついていない場合があることを考えると、実際にはさらに多くの不正アクセスが発生していると言えるでしょう。

「パスワードのみの認証」が侵入を許す大きな要因に
　攻撃者はセキュリティを突破するために、さまざまな工夫を凝らして侵入を試みようとします。しかしながら、ユーザーやユーザーが使う端末を正確に特定できれば、攻撃者が侵入できる余地は少なくなります。2021年には多くの大規模なサイバー攻撃が起こりましたが、その大半はパスワードのみの認証が大きな要因となっていました。

　史上最大規模のサイバー攻撃と言われるSolarWinds事件は、攻撃者がMicrosoft 365の管理者アカウントのパスワードを破りアクセスに成功したことから始まったとされています。

　また、Colonial Pipeline社へのランサムウェア攻撃では、パスワードのみの認証を採用していたレガシーVPNに退職した従業員のアカウントが残っていたことが原因だと判明しています。

　徳島県内の町立病院の場合もVPNへのアクセスにパスワードのみの認証を適用していたと考えられます。そして攻撃者は不正に入手したIDとパスワードによってユーザーになりすまし、病院のネットワークに侵入した可能性があります。

　このようにパスワードのみの認証では、いとも簡単に攻撃者がユーザーになりすまして侵入することができてしまうのです。

2022年、MFA導入がセキュリティ対策のカギに

　ランサムウェアが急激に増加しているなか、パスワードを使わない「パスワードレス認証」が普及しはじめているものの、やはりパスワードのみの認証を採用している企業がいまだに多くあります。そこで2022年には、セキュリティ強化のためにゼロトラストに基づき、パスワードだけでなくパスワード以外の要素を組み合わせたMFAへと進化していくと考えられます。

　この方法であれば、管理者はパスワードを必須にしている現在の企業のセキュリティポリシーを変えることなく、セキュリティレベル向上を実現するMFAソリューションを選択し導入することが可能となります。

さまざまなMFAソリューション
　MFAソリューションには、スマートフォンへSMSで送られるコードを入力する方法（ワンタイムパスワード）からFIDO2に準拠した認証器（セキュリティキーなど）を用いる方法まで、さまざまなものがあります。SMSのコードを使った認証でも、二段階となるためパスワードのみの認証よりはセキュリティが強化されますが、顔認証や指紋認証といった生体情報を利用するほうが情報が窃取されにくく、フィッシング攻撃などに強いと言えます。 また、生体情報を利用したMFAでは、煩雑なパスワード管理や入力といったストレスがないため、安全性と利便性のいずれも高めることができます。

　PKI技術に基づいたMFAもあります。これは端末認証とユーザー認証、2つの認証で構成されています。ユーザー登録の際、サーバとユーザーデバイスを繋ぐ専用の仮想パイプがPKI技術で構築されます。仮想パイプはユーザー以外の端末では繋がらないようになっているため、端末特定の機能を持ちます。そして、PKI技術を使って特定した端末のカメラもしくは指紋センサーを利用してユーザー認証を行います。特定端末でユーザー認証が成功することで、サーバでの認証が完了となります。

　社内で使用している端末が統一されていないために顔認証／指紋認証の対応がバラバラであったり、そもそも生体認証に対応していない端末を使用していたりと、一台の端末でMFAに対応することが難しい場合もあるかと思います。その場合には、生体認証機能を搭載したスマートフォンを利用することで対応が可能です。例えば、最初にパソコンからサービスのログイン画面にアクセスしユーザーIDやパスワードを入力すると、予め登録しておいたスマートフォンに通知が届きます。次にそのスマートフォンで生体情報（顔／指紋）による認証とパソコンでのログイン承諾を行います。これにより認証が完了し、サービスにログインすることができます。

企業の大切な情報資産を守るために、サイバー攻撃を未然に防ぐ

MFAは大きなサイバー攻撃被害を防ぐことができたかもしれない
　パスワードのみの認証では正しいユーザーなのか、遥か遠くからアクセスしている攻撃者なのか判断がつかず、このことがランサムウェアによるサイバー攻撃が増加傾向にある背景の一つとなっていると考えられます。

　先に挙げたColonial Pipeline社へのランサムウェア攻撃も、元従業員のパスワードは数字と文字を複雑に組み合わせたものでしたが、攻撃者がそのパスワードをダークウェブで違法に入手して用いたために正しいユーザーとして認証され、VPNへの侵入を許してしまいました。もしVPN機器への認証方法がパスワードのみではなく生体情報を利用したMFAであったら、攻撃者はアクセスすることが困難だったでしょう。

進化するコロナウイルスとランサムウェアには、ワクチンとMFAで立ち向かう
　この2年ほどの間に新型コロナウイルスは、デルタ株やオミクロン株などへと進化を遂げてきました。このウイルスに対抗する手段として世界中でワクチン接種が進められており、ウイルスの進化に合わせて、現在はワクチンの3回目接種が推奨されています。

　同様に、ランサムウェアもここ数年で進化を遂げています。以前はアメリカなどの海外での被害が多くありましたが、攻撃手法の進化などにより日本にもその影響を及ぼすようになってきています。そのため、ランサムウェアに対抗するためのセキュリティ対策の一環として、日本企業もMFAを積極的に導入していくべきです。

　ワクチンを接種せずにコロナウイルスに感染した場合に重症化のリスクが高まるのと同様、パスワードをMFAで強化しない場合はランサムウェアによる攻撃の被害に遭う可能性が高まります。2022年はWithコロナ時代が続く中、Withランサムウェアの時代であることも意識して、ワクチン接種と並行して企業はMFAでのセキュリティ強化も必要になるのです。

　アメリカのバイデン政権はサイバー攻撃による被害が拡大している状況を受け、政府関連機関にゼロトラストアーキテクチャとMFAの導入を義務付ける大統領令を発表しました。日本でも少しずつ国を挙げた動きが見られるようになってきましたが、増加するサイバー攻撃への備えとして早急にバイデン政権に倣った基準を設けるべきだと考えます。

認証維新で企業のセキュリティ強化を目指す
　ISRでは認証の概念を変革する「認証維新」を2021年に掲げ、従来のパスワードを中心とした認証からMFAやパスワードレス認証への移行とその普及に努めています。提供するSSOサービスには「すべてのアクセスを信用しない」とするゼロトラストの考え方を採用し、各サービスへのアクセス毎に認証が要求される仕組み、そして認証強度もサービス毎に設定できるような仕組みへと変更しました。また、所持情報や生体情報を利用したFIDO2やスマートフォンアプリ「Pocket CloudGate」などのMFAソリューションによる認証を推奨しています。

　今後もISRは、パスワードのみの認証からMFAへ、その後パスワードレス認証へ、と段階を踏むことで導入のハードルを下げることも考慮しつつ、安全性も利便性も高いサービスの提供に努めてまいります。