安全性を重視した認証で企業とその顧客の情報を守る

Lapsus$の攻撃で露呈した米国大手SSOサービス業者の脆弱性
グローバリゼーションによって世界は変わってきています。現在では、利益の最適化のためにコストの安い国に製造の一部分をアウトソーシングすることはビジネスの常識になってきました。とはいえ、はたしてセキュリティベンダーは利益最適化のために、サービスを第三者へアウトソーシングすることができるのでしょうか。

昨年12月ごろに出現したハッカー集団「Lapsus$」は、今年3月にブルートフォース攻撃 で取得したパスワードを使ってRDP（Remote Desktop Protocol）を悪用、侵入に成功しました。侵入されたのは、米国大手SSOサービス業者がパスワードリセットなどのサポート業務を委託していた企業のサポートエンジニアのパソコンでした。

Lapsus$によるサイバー攻撃の一件で、同社がパスワードリセットなどのヘルプデスクサービスを、目の行き届きにくい外国企業へアウトソーシングしていることのリスクが露呈しました。SSOベンダーがサービスを提供するうえでの責任ともいうべきセキュリティまで第三者にアウトソーシングしてしまったのです。

このように、セキュリティまでアウトソーシングしてしまうSSOサービス業者は、サービスを提供する側として最優先に考えるべき安全性を蔑ろにしていると言えるでしょう。今回の事件で、パスワードのみの認証を用いることのリスク、そしてパスワードリセットなどの機能を第三者に簡単に任せることのリスクが改めて証明されました。

ここからは、Lapsus$の事件を参考にしながら、ヨーロッパで続く戦争に乗じてサイバー攻撃が増加しているなかで自社のセキュリティアップにつなげるための安全なMFA（Multi-Factor Authentication：多要素認証）やTPM（Trusted Platform Module）に基づいた証明書について解説するとともに、日本企業のデータを守るSSOサービス業者が持っていなければならないと考える「Security First」の考え方についてご紹介します。

パスワード認証が抱える問題点

パスワード認証の仕組み－知識（知っている）情報の共有
パスワードのみのSSO認証システムは極めて簡単な仕組みです。まず、サーバーが文字や数字を組み合わせた文字列（パスワード）をユーザーに知らせます。ユーザーはそのパスワードを知り、ログイン画面に入力します。サーバーは入力されたパスワードがユーザーIDと一緒に登録された文字列と同じかどうかを照合し、同じであれば認証は成功となります。

しかしこのパスワード認証の仕組みにはさまざまな危険性があります。例えば、パスワードはネットワーク上でやり取りされるため、もしも途中でハッカーが覗き見てしまえば、そのパスワードを再入力（再現）して、サーバーに侵入することができてしまいます。

パスワードリセット（再登録）
一般的にユーザーはパスワードを忘れた際、企業の管理者経由でSSOサービスのヘルプデスクへ連絡し、サポートエンジニアは新しいパスワードを管理者へ知らせますが、今回のLapsus$の事件ではこの仕組みが問題でした。サポートエンジニアのパソコンにハッカーが入ってしまったことで、パスワードリセットによるパスワード漏れのエンドユーザーのリスクが増えたのです。

知っている情報をやり取りするだけのパスワード認証の仕組みではごく簡単にアウトソーシングできてしまい、この根本的な脆弱性が明らかとなりました。今回、アウトソーシング先の端末のパッチ対応などといったセキュリティ措置について、SSOベンダーは確認していたのでしょうか。利益の最適化を求めるのではなく、Security Firstの考えに基づいていれば、このようなアウトソーシングを行うことはなかったでしょう。

パスワード認証の問題をクリアするには

SMSやコード入力によるMFAでは課題解消に繋がらない
MFAのなかでも、SMSでユーザーに届くコードやユーザーのスマホで生成されるコード（OTP）を入力する方法は、パスワード認証の仕組みと似ています。いずれもネットワーク上でやり取りされることに変わりはないため、入力したコードが途中で盗まれて再入力されるリスクは同じです。

生体情報やセキュリティキーを用いたMFAで厳密な本人検証
生体情報やセキュリティキーを用いたMFAはパスワード認証の仕組みと違い、スマートフォンなどの物理的なユーザーデバイスを用いて顔や指紋などでユーザーが特定されます。そしてユーザーデバイスはPKI（Public Key Infrastructure）を使用してサーバーで特定されます。この過程においては、ユーザーへ知らせる、ユーザーが知る（覚える）情報がありません。従って、生体情報やセキュリティキーを用いた認証では、途中で情報が覗き見られて再入力されるという危険性は低いと言えます。

また、物理的なデバイスを利用する生体認証はパスワードリセットに比べ、第三者にアウトソーシングすることは容易なことではなく、覚えておくべき情報（パスワード）を忘れるといったリセットが必要となるような機会も少ないため、ハッキングのリスク減少につながります。

しかしながら、エンドユーザー企業におけるMFAの導入や運用はパスワードのみの認証ほど簡単ではありません。SSOベンダーは顧客の情報資産を守るために全力を尽くすという考え方に基づいてサービスをデサインするべきですが、安全でありながら利便性も兼ね備えておく必要があります。その点を考えると、FIDO2やスマートフォンの生体認証を用いる方法は安全かつ便利な認証です。

見えないMFAの登場（TPMに基づいた認証証明書による認証）
証明書はパソコンのハードウェアに基づいており、窃取されにくい仕組みであると言えます。証明書の認証はユーザーが意識せずとも行われる認証であり、パソコンブラウザとサーバーのやりとりでパソコンの特定を行います。ユーザーに知らせる、ユーザーが知る（覚える）べき情報は必要ありません。

証明書の仕組みはパスワード認証の仕組みとは異なり、クレデンシャルである秘密鍵と公開鍵のペアがサーバーから共有されるのではなく、パソコン（の中）のTPMで造られます。秘密鍵はTPMに保存されたままで、ユーザーが知らされることはありません。

サーバーはユーザーのパソコン（ブラウザ）を認証する際、ユーザーにチャレンジ（文字列）を送ります。ブラウザがサーバーのチャレンジに対応するリプライに秘密鍵でサインをします。サーバーがブラウザ登録したユーザーの公開鍵を用いてブラウザのリプライを復号してチャレンジ（文字列）と照合し、同じであればブラウザ認証は成功します。

情報を守る - Security Firstの考え方

ハイブリッドな働き方に証明書認証
パソコンの特定にもユーザー認証にも利用できるTPMハードウェアに基づいた証明書は、今後も続くと思われるハイブリッドの働き方でのセキュリティ強化に大きく貢献できると考えています。ハードウェアに基づいて安全でありながら、ユーザーにとっては極めて便利な方法ではないでしょうか。

また、パスワード（認証情報）を知らせる・知る仕組みを持たない、生体情報を用いるMFAやFIDO2による認証、証明書による認証を採用していれば、今回の事件で明らかとなったようなアウトソーシング先でのパスワードリセットも行われることはなかったでしょう。

ISRの取り組み
私たちはCloudGateサービスを提供するうえで、常にSecurity Firstの考え方と「全力でお客様の情報資産を守る」という経営理念に基づき、第三者に依存することがないよう自社内での開発・運用・サポートを行っています。

2019年5月からはCloudGate UNOでFIDO2に対応したパスワードレス認証の提供を開始しており、従来のパスワードを中心とした認証からMFAやパスワードレス認証への移行とその普及に取り組んでいます。2021年7月には、提供するSSOサービスに「すべてのアクセスを信用しない」とするゼロトラストの考え方を採用し、各クラウドサービスへのアクセス毎に認証が要求される仕組み、そして認証強度もサービス毎に設定できるような仕組みへと変更しました。

今後もパスワードのみの認証からMFAへ、その後パスワードレス認証へ、と段階を踏むことで導入のハードルを下げることも考慮しつつ、高い安全性と利便性を兼ね備えたサービスの提供に努めてまいります。