トピック

パスワード管理ツールが不正アクセスの被害に。
情報を守るためにユーザーができるセキュリティ対策とは?

昨今、リモートワークの普及やさまざまなクラウドサービスの誕生により、以前に比べてクラウドサービスの導入数が増加している企業も多いのではないでしょうか。それに伴い、各サービスへアクセスするために使用するパスワードの数も増えているはずです。パスワードは一般的な認証方法としてさまざまな場面で利用されているため、仕事中だけでなくプライベートにおいても私たちは日常的に多くのパスワードに接していることでしょう。

「こんなにたくさんのパスワードを覚えるなんて無理!」「いちいち新しいパスワードを考えるのが面倒!」などといった理由から、セキュリティ上の不安はありつつも覚えやすいものに設定したり使い回したりしてしまっているのではないでしょうか。最近では、そうなることを避けるためにパスワードを保存・管理してくれるツールを利用している方も多いかもしれません。

しかし昨年、パスワード管理ツールを提供する企業が不正アクセスを受けてユーザーの情報が盗み出されるという事件が発生しました。セキュリティのために利用していたサービスがサイバー攻撃の被害に遭うという事態が起こってしまったのです。

今回は、パスワード忘れを実際に起こりうるエピソードとしてご紹介しつつ、そのような事態を避けるために利用されているパスワード管理ツールに関する課題について取り上げます。さらに、この課題の解消に繋がると私たちISRが考える、セキュリティ強度が高く安全なパスワードレス認証についてご紹介いたします。

パスワードの課題 - パスワード忘れ

パスワードは人間の記憶力に頼る部分が大きく、しばらく使っていないなど時間が経つと忘れてしまう可能性もあります。それを防ぐためだとしても、付箋やメモに書き留めておいたり、同じパスワードを使い回したりすることはセキュリティ上避けなければなりません。

ここで、パスワード忘れに関するエピソードを見てみましょう。

私はある会社の情報システム部門で働いている。

当社ではシングルサインオンを導入しており、必要に応じて管理者サイト上で社員のアカウント設定などを行う。小さな会社ということもあり、私が一人で担当している。最近は社員の増減がなく、設定変更が必要となる場面もなかったため、しばらく管理者サイトにはアクセスしていない。

ある日、一人の社員からログインができないとの問い合わせを受けた。対応のため管理者サイトへアクセスしようとしたがパスワードが思い出せない。思い当たったものをいくつか試してみたものの、どれも違うようだ。困った。管理者サイトに入らなければトラブルの原因がわからず対処ができない。

パスワードを思い出すことを諦め、サービス提供元のサポートセンターへと連絡し、パスワードを忘れて管理者サイトへアクセスできないことを伝えた。パスワードリセットを行うには本人確認が必要とのことで、導入時の初期パスワードを尋ねられた。たしかに以前受け取った通知書類に記載されていたような気もするが、どこに保管したのか思い出せない。

結局、別の方法で無事に本人確認が完了したものの、パスワードをリセットしてもらい管理者サイトにアクセスできるようになるまでにほぼ丸1日を要してしまった。社員がログインできなかった原因は単なる入力ミスとのことで、問い合わせの数分後には解決したとの連絡が来ていたが、もし他の原因だったとしたら彼の業務にも影響が出ていたかもしれない。

今後のパスワードの管理方法について考えなければいけないな。

このように、パスワードを忘れて管理者サイトへアクセスできないということは、管理者サイト上で行うべき作業や業務が一切できないということであり、大きな支障が出ることが考えられます。管理者自身の作業が滞ってしまうことはもちろん、ユーザーからの緊急の問い合わせにも即座に対応することができないなど、困った事態になりかねません。

管理者のパスワード忘れについて、さらに詳しく知りたい方はこちら

パスワード管理ツールは便利で安全なのか?

管理者に限らず、一般ユーザーでも業務に使用しているサービスへのパスワードを忘れてしまえばログインできなくなり、支障が出るでしょう。しかし、企業が導入するクラウドサービスの数が増えれば管理しなければならないID/パスワードの数も同様に増えていくため、ますますパスワードを覚えておくのは大変になります。そのため、パスワードマネージャーといったパスワード管理のためのツールを利用している方も多いのではないでしょうか。

パスワードマネージャーの多くは設定した「マスターパスワード」を用いてパスワード管理画面にアクセスする形となっています。つまり、複数のパスワードを管理するためにメインとなる1つのパスワードを使用しているという構造です。もし仮にこのマスターパスワードが漏洩してしまったらどうなるでしょう。パスワードマネージャーで管理しているID/パスワードにまで被害が及ぶかもしれないことは明らかです。

パスワード管理ツールへの不正アクセス
昨年、パスワード管理ツールを提供する米国企業が不正アクセスを受け、顧客のユーザー名とパスワードのリストのコピーが盗まれたことを公表しました。攻撃者は事前に窃取したとされる従業員の認証情報とキーを使い、同社のクラウドデータベースと顧客情報を含むデータ保管庫のバックアップにアクセスしたとのことです。他にも、ツール内で管理していたWebサービスのURLのリストや顧客の基本アカウント情報、ツールにアクセスする際に使用したメールアドレス、電話番号、IPアドレスなどの情報も攻撃者はコピーしたとされています。

同社は、ユーザー名やパスワードなどのデータは暗号化されているため安全であり、かつユーザーがデータにアクセスするためのマスターパスワードは保存・管理しておらず、ユーザー自身がベストプラクティスに従ったマスターパスワードを設定していれば問題はないとしています。そして、パスワード設定等の管理をしっかりと行うことはユーザーの責任でもあると述べています。

もちろん、仮にマスターパスワードを安易なものに設定していたとしたら、アカウント情報を入手した攻撃者は容易に認証を突破し、ツール内に保管されている他のサービスの認証情報にもアクセスすることができてしまいます。しかし、これを本当にユーザー自身の責任・落ち度であると言えるのでしょうか。今回の場合、マスターパスワードが複雑なものに設定されていたとしても、攻撃者は入手したメールアドレスなどからユーザーへフィッシング攻撃を仕掛けることが可能です。つまり、攻撃者の侵入を許し、データを窃取された企業側に大きな責任があると考えられます。

また、このデータ侵害は従業員の自宅PCへの不正アクセスが要因であるとされています。極めて機密性の高い社内データへ、アクセス権限を持つ従業員が自宅の私用PCからでもアクセスできるようになっていました。仮にデバイス証明書をインストールした社用端末からのアクセスのみを許可する設定にしていたら、結果は変わっていたかもしれません。

セキュリティベンダーは安全なサービスを提供する責任がある

パスワード管理ツールは、人々の大切な情報へアクセスする際の入り口を守るための重要な認証情報を扱っています。企業はそのようなサービスを提供している以上、より安全性を追求していくべきでしょう。

そもそも、さまざまなサイバー攻撃が発生している昨今において、パスワードのみの認証は安全であるとは言えません。パスワードの最大の問題点として、なりすましが可能であることが挙げられます。フィッシングやリスト攻撃などのサイバー攻撃によりIDやパスワードを窃取されるだけでなく、何らかの理由で盗み見られたり推測されたりすることで、第三者がユーザー本人になりすましてアクセスできてしまうのです。複数のサービスで同じIDとパスワードを使い回している場合には、1つの情報が窃取されただけでも大きな被害に繋がる恐れがあります。

パスワードが抱える課題については以前から認識されており、内閣サイバーセキュリティセンターのWebサイト内でも、パスワードを破る攻撃手法がさまざまあると紹介したうえで「いまでは、パスワードだけで守るという考えは古くなっています」と、パスワード以外の方法で対策することが重要であると記されています。

しかし、いまだにパスワードのみの認証でも適用を可としているセキュリティベンダーが多いのも事実です。危険性を認知していながらそのサービスを提供し続けていては、安全なサービスを提供するというユーザーへの責任を果たしているとは言えません。パスワードに加えてもう一つ認証を行うなど、セキュリティ強度の高い認証方法を必須とするべきでしょう。

実際に、米国政府は今年に入り新しいサイバーセキュリティ戦略を発表しており、ソフトウェアメーカーや産業界に対してシステムがハッキングされないように大きな責任を負うことを求めています。

パスワードを使わない、セキュリティ強度の高い認証を提供するCloudGate UNO
ISRでは、以前よりパスワードの危険性を認識するとともに、複数の大企業が被害を受けたサイバー攻撃(オーロラ作戦)の教訓から「どのような企業もサイバー攻撃を受ける可能性がある」ということを実感し、「Security First」の考えのもとサービス開発・運用・提供を行っています。

具体的な取り組みの1つとして、2019年から社内ではパスワードのみによる認証を使用せず、全社員にパスワードレス認証を必須としています。そしてお客様へ提供するSSOサービス「CloudGate UNO」においてもすべてのプランで生体認証などのパスワードレス認証機能をご利用いただけるようになっています。

パスワードレス認証としては、アプリを用いてスマートフォン搭載の生体認証機能を利用する方法のほか、FIDO2準拠の認証器(セキュリティキー、PCやスマートフォン内蔵の生体認証機能)を用いた方法があります。FIDO2による認証はフィッシングなどによる認証情報の漏洩や窃取に耐性があり、なりすまし等の不正ログイン防止に繋がります。

また、顔や指紋などによる生体認証を利用すれば、認証器に顔や指をかざすだけで認証が完了するため、「パスワードを忘れてログインできない」といった事態も防ぐことができ、安全性と利便性を両立した認証方法を実現します。

すぐに完全なパスワードレスへと移行することは難しいということもあるかもしれませんが、複数のクラウドサービスへの入り口を管理するという点で、SSOサービスにおいてもパスワード管理ツールにおいてもパスワードレス認証を導入することが、自社の大切な情報資産を守るうえで重要であると言えます。

私たちは今後もCloudGate UNOの提供を通して、クラウドへの入り口を生体情報やFIDO規格による認証で保護することが一般的となるような世の中の実現を目指し、パスワードレス認証の普及に努めてまいります。