トピック
進化するMFA、パスキー認証がもたらすセキュリティの向上
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
2024年7月1日 10:00
2024年2月、米医療保険・医療サービス大手United healthグループ傘下のChange Healthcare社へのサイバー攻撃が発生しました。この攻撃により、多くの医師や病院の資金繰りが深刻化し、患者への医療サービスに大きな影響を及ぼしただけでなく、大規模な情報漏洩が発生し、米国の3人に1人が影響を受けたとされています。同社のCEOはサーバーに多要素認証(MFA)を使用していなかったことが今回の被害につながったと証言しました。
また、米国のニュース雑誌『タイム』が2024年に最も影響力のある企業100社の一つとして、フィッシング耐性の高いMFAを実現する外付け認証器「YubiKey」を提供するYubico社を選出するなど、MFAへの注目度が高まりつつあるという社会的変化もみられています。
今回のブログでは、6月18日に開催した弊社主催記者向け勉強会でお話しした内容をもとに、サービス障害が発生した際に社会に大規模な影響を与える可能性がある医療部門や金融部門、重要インフラ部門などの企業においては安全性の高いシステムを採用するだけでは十分ではなく、その入り口となる認証のセキュリティを強化することが重要であるということについて解説します。
米国最大の医療請求サービス提供企業Change Healthcare社を襲ったランサムウェア攻撃
米国最大の医療請求サービス提供企業であるChange Healthcare社(以下、CH社)がランサムウェアによる攻撃被害に遭いました。同社はUnited Healthグループ子会社で、医療システム全体において医師、薬剤師、医療保険、政府の間の情報、請求、支払いを調整する世界最大の医療支払い処理会社の一つであることから、今回のサイバー攻撃は米国医療業界における過去最大といえるほどの甚大な連鎖的影響をもたらしたと言われています。
事件の概要
2024年2月12日、攻撃者は漏洩した認証情報を使用して、デスクトップへのリモートアクセスを可能にするアプリケーションである、Change Healthcare Citrixポータルにリモートアクセスし、9日間システム内に留まりました。その後データを盗み、ランサムウェア攻撃を仕掛けました。攻撃はBlackCat/ALPHVランサムウェアグループとされています。攻撃を実行していたのはアフィリエイトであるRansomHubグループによるものでした。
攻撃による被害
CH社はこの攻撃を受けてサービス停止に追い込まれ、請求処理に大きな遅延を引き起こしました。米国医師会が行ったアンケートによると、回答者の36%が請求支払いの停止を経験し、32%が請求の提出が一切できなかったとしているほか、80%の医療機関が未払請求による収益の損失に見舞われ、55%の医師が経費を賄うために個人資金を使用せざるを得なかったと回答しています。また、患者ケアに与えた悪影響としては、「薬を入手できず、症状が悪化した」、「検査の注文や結果にアクセスができなかった」という回答があったとのことです。
加えて、何百万ものアメリカ人の機密医療情報がダークウェブに流出した可能性があることが明らかとなっています。情報漏洩の被害においては現在調査中としつつも、推定で国民の3人に1人が影響を受けたと考えられています。また、盗まれたデータには米国の軍関係者の機密健康情報も含まれていた可能性が高いとの証言から、国家安全保障上の懸念も指摘されています。
また、親会社のUnited Healthグループは混乱を収束するために2,200万ドル相当のビットコインの身代金を支払っただけでなく、2024年第1四半期に8億7,200万ドルの損害を被ったと発表しました。さらに、今後の対応を含め、2024年全体ではこの攻撃の影響による損害は13億5,000万ドルから16億ドルにのぼると予想しています。
攻撃を受けた原因
2024年5月に行われた2つの公聴会で、United HealthグループのCEOであるアンドリュー・ウィティ氏が攻撃の経緯、状況、対応について証言しました。その中で彼は、最も重要なシステムのセキュリティ対策としてMFAを採用していなかったことが今回の攻撃を受けた原因だったと述べました。
システムの復旧に時間がかかった根本的な原因については、2022年10月にUnited HealthグループがCH社を買収した際、レガシーITシステムをそのまま引き継いだことにあると証言しています。CH社の医療請求および支払い処理業務を支える技術システムの一部は40年前のもので、これらのシステムの技術面のアップグレードと近代化に取り組んでいたところ、今回のサイバー攻撃にあったとのことです。
安全性の高いサーバーを導入するだけでなく、認証の強化が重要
オンラインアカウントを保護するにはパスワードだけでは不十分だという考え方は少しずつ広がっています。近年、ダークウェブでは流出した機密情報や認証情報の売買が活発に行われており、CH社へのサイバー攻撃でも、盗まれた認証情報がダークウェブ上で販売されていた可能性が非常に高いとされています。
CH社のポリシーでは、外部向けシステムすべてに対してMFAを有効にすることが定められていましたが、侵入を許したサーバーの認証にはMFAが導入されていませんでした。これにより、攻撃者は正規の認証情報とMFAの不備を利用してシステム内で横移動し、データを盗み、暗号化することで、米国医療業界に対する過去最大のサイバー攻撃を成功させました。
この攻撃では、漏洩したCitrixサーバーのアカウントが悪用されていました。Citrixサーバーは米国フロリダ州に本拠を置くCitrix Systemsが提供しているサーバーで、サーバー側でアプリケーションやデスクトップを仮想化し、その画面をクライアント側に配信するソリューションです。通信は暗号化されており、サーバー上のソフトウェアを遠隔操作するだけなので、クライアント側にデータが残らないため安全とされています。
しかし、どれほど安全性の高いシステムを採用していたとしても、その入り口となる認証のセキュリティが十分でなければ意味がありません。このことから、安全性の高いサーバーを導入するということはもちろん重要ですが、まずは認証システムのセキュリティを強化することが不可欠だということが分かります。さらに、レガシーや非アクティブなアカウントを含めたすべてのアカウントに対してセキュリティを確保することも重要になります。
高いセキュリティを求める企業はセキュリティキーの導入が必須
CH社へのサイバー攻撃に関しては、米国議会で2度の公聴会が開かれ、メディアでも連日大きく取り上げられました。特に、上院・下院議員がMFAの不備について厳しく言及したことで、MFAの重要性が広く認識され始めています。
最近ではMFAの設定を必須化するサービスが出始めたことから、MFAを利用する企業が増え始めています。しかし、それに伴い従来のMFAで利用されるSMSやワンタイムパスワード等に対する攻撃も増加しています。そのため、アカウントを保護する最善の選択としては、フィッシング耐性の高いMFAを使用することが推奨されます。
フィッシング耐性の高いMFAの一つとして、FIDO認証資格情報であるパスキーを用いた認証があります。パスキーの特徴は、正規のドメインと悪意のあるドメインの区別ができることにあります。ユーザーの認証器とドメイン情報を紐付けて管理する仕組みとなっており、ドメイン情報が一致する場合にだけ認証できるため、攻撃者が認証情報やクッキーを入手してセッションを再現することを防ぎ、安全性が向上します。
パスキーは大きく「同期パスキー」と「デバイス固定パスキー」に分けられます。
同期パスキー:
特定のクラウドサービスアカウントを利用して、同じプラットフォームの端末間で共有できるパスキーを指し、パスキーを管理するパスキーマネージャーを利用して同期を行います。仮に紛失や破損により端末を変更する必要が生じても、パスキーを引き続き利用することができるため、再登録やバックアップなどの手間を解消することが期待されます。
デバイス固定パスキー:
YubiKeyなどの主に外付け認証器を利用した場合のパスキーを指します。保存されているパスキーはバックアップされず、端末を紛失、破損またはリセットした場合にはパスキーを復元できませんが、認証に利用するパスキーが保存されているのはその認証器1つであると特定できるため、セキュリティ上のメリットがあります。
サービス障害が発生した際に社会に大規模な影響を与える可能性がある医療部門や金融部門、重要インフラ部門などの企業は、よりセキュリティが高い「デバイス固定パスキー」を使用するセキュリティキー(外付け認証器)を使うべきでしょう。
私達ISRが提供するアイデンティティ管理プラットフォームCloudGate UNOでは、堅牢なアクセス制限とパスキー認証によるシングルサインオンを可能にします。そのため、例えばCitrixと連携させることで、パスワードで直接ログインするのではなく、CloudGate UNOを経由してのアクセス、さらにセキュリティキー(YubiKeyなど)を利用したパスキー認証のみ許可するという形に制限することで、強固な認証を実現することが可能です。
また、パスキーを登録する際に、社員が個人の携帯端末など企業で許可されていない認証器を登録しないよう、「アテステーション」という機能を使うことを推奨します。これにより、認証器モデルの識別と登録可能な認証器の制限が可能になります。
サイバーセキュリティを取り巻く環境の変化により高まるMFAの重要性
今回のCH社のサイバー攻撃だけでなく、近年頻発するサイバー攻撃のメディアの報道からも見てとれる通り、企業にとってMFAの導入が不可欠になり始めているという環境の変化が始まっています。
2024年5月末に米国のニュース雑誌『タイム』は第4回「TIME100 Most Influential Companies(最も影響力のある100社)」を発表しました。これは、世界的な企業の中から、その影響力や革新性を称えるものです。今年、特筆すべき企業の一つとしてYubico社が選出されました。Yubico社は強力なMFAを実現する認証器、YubiKeyを提供する企業であり、このような企業が選出されるということは、米国内でセキュリティへの関心が高まってきていることの表れであると考えられ、この動きは日本にも波及すると考えられます。
医療業界など人々の生活に直接の影響を及ぼすような重要インフラ部門や顧客の重要な情報を預かるサービスの提供業者といった、より高いセキュリティを求められる企業は特に、安全性の高いシステムを採用するだけで満足せず、入り口を守るための認証の仕組みとしてセキュリティキーを導入し、きちんとしたセキュリティを担保することが求められるでしょう。