岐路に立つ「多要素認証」、弱点を補う解決策とは

多要素認証を破るサイバー攻撃が目立ってきた。どうすれば攻撃に強い多要素認証を実現できるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　多要素認証（MFA：Multi Factor Authentication）は、サイバー攻撃に対して無力になる場合がある（注1）。米国では広く知られた企業のサービスでもMFAが破られた。もはやMFAは無意味なのだろうか。どうすれば弱点を補うことができるのだろうか。

多要素認証の弱点を補う方法とは

　MFAの弱点を補う方法の一つが「フィッシング耐性MFA」だ。

　平たく言えば、フィッシング耐性MFAとはテキストメッセージや電子メールで送信されるワンタイムパスコードを「利用しない」MFAのことだ。

　「フィッシング耐性」という用語は、秘密鍵と公開鍵の非対称ペアの他、Web認証API（WebAuthn）仕様、生体認証、FIDO2標準などの暗号技術に依存する認証モードとして定義されている。

　攻撃者から見れば、フィッシング耐性を持たないMFAは容易に回避できる。サイバーセキュリティの専門家によれば、フィッシング耐性がないMFAは「壊れて」おり、せいぜい単一要素認証（例えばパスワードのみを使う）よりはましな程度だという。

　JupiterOneのCISO（最高情報セキュリティ責任者）兼リサーチ責任者のスニル・ユー氏は、電子メールで次のように指摘した。

　「フィッシングはその定義からして、ユーザーとのインタラクションを必要とする。従って、ユーザーのインタラクションを最小限に抑えるか、完全になくするMFAが最もフィッシングに強いといえる」

　ユーザーの操作を必要としないMFAであれば、フィッシングに強いということだ。認証されたデバイスでのアクセスを証明するデバイス証明書やオリジンバインディング、ハードウェアセキュリティキーなどの高度な制御を用いることで、これまでのMFAで起こっていたようなフィッシングを排除できると、ユー氏は言う。

認証の方程式から人を排除する

　フィッシング耐性MFAの目的は、IDベースの攻撃を回避することだ。だが、サイバーセキュリティに万能策はない。企業はフィッシング耐性を無謬性と混同してはならない。

　Corvus InsuranceでCISOを務めるジェイソン・レブホルツ氏は電子メールで次のように意見を述べた。

　「ユーザーは常に企業のセキュリティの重要な要素だが、（攻撃者が付け入る隙のある）唯一の要素ではない。フィッシング攻撃を防ぐためにユーザーに依存する企業は失敗するだろう」

　Twilio（注2）やCisco Systems（注3）、Uber Technologies（注4）などに対する2022年のフィッシング攻撃が成功したのは、人間が関与し、攻撃者にだまされたためだ。

　Futurum Researchのシニアアナリスト兼リサーチディレクターのロン・ウェストフォール氏は、「最新のフィッシング攻撃は、メールやテキストのMFAに関連して、回避や操作がより困難な生体認証ビジネスを強化している」と述べる。

フィッシング耐性MFAには種類がある

　フィッシング耐性MFAは、多くの最新のサイバーセキュリティ対策と同様に、ゼロトラストの原則とアーキテクチャの下にある。

　米国立標準技術研究所（NIST：National Institute of Standards and Technology）のデジタルアイデンティティーガイドライン（Digital Identity Guidelines）（注5）では、3つの認証保証レベルを定めている。最高レベルのAAL3は、暗号プロトコルを使用したハードウェアベースの鍵を必要とする。

　ハードウェアベースの鍵によるFIDO2とWebAuthn認証は、レベル3のフィッシング耐性MFAの形態として最もよく挙がる。

　どちらの規格も、USBセキュリティキーやユーザーが所持するデバイス、クレデンシャル管理APIなどの外部認証機関と結び付いた強力な暗号によって、パスワードに代わることを目指している。

　しかし、望ましい結果を得るためにはハードウェアやソフトウェアをそろえて設定しておく必要がある。さらに認証のための標準が普遍的にサポートされていなければならない。

2024年の義務付けまでの道のりは遠い

　Arctic Wolf Labsのバイスプレジデント兼代表のダニエル・タノス氏は、電子メールで次のように指摘した。

　「これらの安全なプロトコルでは、ユーザーが知っていることではなく、ユーザーが所持するものだけに基づくトークンが必要だ」

　フィッシング耐性MFAには、生体認証トークンや物理的なセキュリティキーをサポートするWebブラウザ、暗号化された発信元ドメインに固有の認証要求も含まれる。

　認証の標準はさらに改善される可能性があるものの、現実には多くの企業がMFAを実装していない。これではデータ漏えいの可能性が大きくなる、とタノス氏は指摘する。

　ほとんどの企業は、NISTの認証レベル1（パスワードのみ）、レベル2（MFA）、またはこれらの混合だとタノス氏は言う。

　全ての連邦政府機関は、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）とNISTのガイダンスに従って、2024年度までにフィッシング耐性MFAを使用することが義務付けられている。

　フィッシング耐性MFAは、フィッシングを撲滅するものではないが、攻撃者のハードルを大幅に上げるものだとレブホルツ氏は述べる。

　レブホルツ氏の指摘は、サイバーセキュリティについて現実的な目標に目を向ける効果がある。フィッシング体制MFAだけではなく、全ての保護層が、企業を攻撃から守るバリアとなり得るのだ。

　Gartnerのピーター・ファーストブルック氏（リサーチ担当バイスプレジデント）は、電子メールで次のように指摘した。

　「防御側は（MFAなどの）IDシステムが常に完全に機能すると仮定はできない。完全な認証方法を探し続けるのではなく、失敗を想定し、これらのバイパスに備えなければならない」

出典：What is phishing-resistant multifactor authentication? It’s complicated.（Cybersecurity Dive）

注1：Multifactor authentication is not all it’s cracked up to be（Cybersecurity Dive）

注2：Twilio discloses more victims as phishing attack effects cascade（Cybersecurity Dive）

注3：Internal Cisco data stolen after employee hit by voice phishing attack（Cybersecurity Dive）

注4：Uber details how it got hacked, claims limited damage（Cybersecurity Dive）

注5：NIST Special Publication 800-63-3 Digital Identity Guidelines（PDF）