「セブンペイ事件」から2年、ワンタイムパスワードの使いどころを再確認
認証情報を狙うサイバー攻撃が激化している。その手法は多岐にわたり、セキュリティの専門家さえ「対処のしようがない」と言うものもある。今回はサイバー攻撃に対するワンタイムパスワードの有効性を考える。
個人や企業を問わず、サイバー空間内でアクセスの正当性を示すための「認証」の重要度は高い。コロナ禍をきっかけに、これまでオフラインが当然とされてきたコミュニケーションやサービスもオンライン化が進み、サイバー犯罪者にとっての「狙い目」となっている。
サイバー犯罪で最も狙われる「お金の情報」、きっかけはどこから?
従来のサイバー攻撃は、愉快犯が標的のPCを不正に操作するために、マルウェアなどを仕込むことが多かった。しかし昨今は、ECやオンラインバンキング、ペイメントサービスなどあらゆる消費のオンライン化に伴って営利目的にシフトしている。
個人が被害にあった攻撃として記憶に新しいのが、2019年の「セブンペイ事件」だ。QRコード決済に関する認証情報が狙われ、大規模な被害が発生した。また、2020年にはゆうちょ銀行の「mijica」で認証の仕組みに関する脆弱(ぜいじゃく)性が攻撃され、不正送金が発生した。
認証を狙う攻撃は、金融以外の法人もターゲットにしている。2018年に発生した産業技術総合研究所を狙った攻撃では、推測しやすい脆弱(ぜいじゃく)パスワードが原因でクラウド型メールシステムへの不正ログインが発生し、未公表の研究資料や個人情報が漏えいした。
コロナ禍の影響でリモートアクセスやクラウドサービスの利用が増え、従来の境界防御や暗黙の了解に頼った信頼の仕組みに限界が来ている。例えば「Microsoft 365」や「Google Workspace」のアカウント情報を何らかの手段で入手すれば、メールやスケジュール、ドキュメントなどの情報を盗み見できる。その情報を基にすれば、ビジネスパートナーを装って現場担当者に「お金の振込先が変更されたので対応してほしい」と連絡し、不正に送金させるビジネスメール詐欺(BEC)が可能になってしまう。
多要素認証を取り入れても「対処のしようがない」攻撃がある
IDとパスワードなどの認証情報を盗み取ろうとする攻撃には、SMSを利用したフィッシング詐欺の「スミッシング」などがある。また、ユーザーがIDやパスワード、メールアドレスを複数サービスで使いまわしている状況を逆手に取り、既に流出したメールアドレスを基にして別のサービスへのログインを試みる「パスワードリスト攻撃」も続いている。
こうしたリスクを踏まえて、IDと固定パスワードだけに頼らない「二要素認証」や「二段階認証」を採用する動きも広がっている。認証情報の「使い回し」を避けるとともに、ワンタイムパスワードに代表される「固定パスワードではない方法」による認証の強化策が求められるようになった。
しかし、EGセキュアソリューションズの徳丸 浩氏(取締役CTO)によれば「二要素認証を取り入れても、対処のしようがない攻撃がある」という。
ここで簡単に、二段階認証と二要素認証の違いを整理しておこう。
二段階認証とは、パスワードという「利用者が知っていること」に加えて「パスワード以外の知っていること」を照合することでパスワードリスト攻撃や「ブルートフォース(総当たり)攻撃」に対抗するものだ。2つ目の照合情報には、追加パスワードやパスコードなどがある。
二要素認証は、利用者が知っていることに加えて「知っていること以外の要素」を照合して不正ログインに対抗する。知っていること以外の要素とは、例えば「利用者が持っているもの」や「利用者自身の情報」だ。具体的にはトークンやICカードといった物理的なパスワードツールや、指紋や顔などの生体情報がある。昨今定着しつつある「ログイン操作をすると事前に登録したスマートフォン宛てにSMSでパスコードが届き、それを入力して認証を完了する」という仕組みは二段階認証と二要素認証のいずれの特性も持つ。
しかし二段階認証を取り入れても対処が難しい攻撃がある。対処できなかった攻撃の一例となるのが、冒頭に挙げたゆうちょ銀行の「mijica」のケースだ。
mijicaはユーザーに物理的なパスワードカードを渡し、認証の際は固定パスワードに加えてカードに書いてある5桁の数字を入力する二段階認証を導入していた。しかし入力回数に制限がなかったため、最大10万通りの入力を試すことで防御が破られてしまった。総当たり攻撃を見越した設計や実装ができていなかったケースに当たり、類似の被害を予防する参考になるだろう。
例えば総当り攻撃は、入力回数の制限や利用時間に制限のあるワンタイムパスワードによって認証が破られるリスクにある程度は対抗できる。
ワンタイムパスワードには、専用のハードウェアトークンを利用する方式やカード形状の「乱数表」を用いる方式、スマートフォンアプリに表示させる方式、携帯電話のSMSで届ける方式、電話で音声確認をする方式などがある。重要なのは、固定のIDとパスワードとは別の経路で認証情報が届く点にある。オンラインバンキングなどの金銭を直接扱うサービスはもちろん、各種Webサービス、あるいはMicrosoft 365や「GitHub」といった企業向け、開発者向けSaaSやIaaSでも広く利用されている。
一方で、ワンタイムパスワードでも対処不可能な問題も存在する。「中継型フィッシング」だ。
中継型フィッシングサイトは、正規のサイトと利用者の間に攻撃者が「中継役」として入り込む。例えばオンラインバンキングであれば、ユーザーが入力した情報やそれに対する正規サイトからのレスポンスを中継しながら、振込先と振込金額だけを中継サイト側で変更して不正送金を成立させる手口だ。以前から危険性は指摘されていたが、近年いよいよ日本でも被害が起き始めているという。
「サイバー犯罪と対策はいたちごっこです。これまで従来型のフィッシングを成功させて『日本では中継型フィッシングを使うまでもない』と判断していた攻撃者が、対策の進化に伴って攻撃を高度化させているのでしょう」(徳丸氏)
中継型フィッシングが使われると、認証要素をいくつ追加しても意味がない。どのような経路でパスコードを送っても、認証する画面が見られているためだ。偽の認証画面は丁寧に作り込まれるため、利用者側へ注意喚起してもだまされてしまう利用者が続出しているという。
高度な対策としては、送金先口座の情報を組み合わせてワンタイムパスワードを生成、確認する「トランザクション認証」を採用するオンラインバンキングサービスがある。PCの操作とスマートフォンアプリを連動させて、振り込み操作を確認する仕組みを導入する銀行もある。パソコンとスマートフォンが同じ攻撃者によるマルウェアに感染する可能性は低いため、振り込みの安全性を高められる。
「ただし、認証方法の追加によってコストや手間、使い勝手などが悪化しては有効に使われなくなってしまいます。サービスの性質や扱う情報を踏まえた『メリハリのある実装』と、ユーザーへの啓発は不可欠です」(徳丸氏)
攻撃と対策はどちらも高度化が進んでいる。従来であれば手の打ちようがなかった攻撃に対応する方法もできつつある。金融業界が先行事例となるだろう。
完璧な防御は存在しないが、ワンタイムパスワードは「最後のとりで」の1つ
「『パスワードはもう終わり』といわれて久しいものの、認証方式の主流である事実は変わりません。完璧な防御は存在しませんが、認証の『最後のとりで』として、ワンタイムパスワードは有効です」(徳丸氏)
近年、ビジネスのデジタル化や非対面化が進むに伴って管理すべきIDとパスワードの数も増え、IDの管理と連携に特化したSaaSである「IDaaS」(Identiy as a Service)に注目が集まっている。IDaaSは一度の認証で複数のサービスにログインできる機能や権限管理の設定機能、マスターとなるアカウントの作成に伴ってその会社で利用するサービスへの登録やアカウント作成が自動で実行される機能などを持つ。利便性が高い一方でIDaaSの認証が破られれば、全てのサービスが一網打尽にされてしまうため、IDaaSの認証は最も注意して強化すべき箇所となる。
「例えばIDaaSを導入し『入り口』を集約してワンタイムパスワードをはじめとする認証の強化策を集中させれば、コストと効果でバランスのとれた対策ができます」(徳丸氏)
ただし注意すべき点として、利用規模とコストのバランスがある。多くのIDaaSはサブスクリプション方式で提供されており、「認証のためだけにこれだけの額を支払うのか」と驚くケースもあるという。
金融業界では「認証を乗っ取られる事態はあり得る」という前提に基づき、金銭を奪われるという「最悪の事態」を最終防衛ラインと考える施策が採用される。金融以外の企業でも「本当に守るべき大事なもの」を特定してそこを集中的に守る施策は有効だ。例えばビジネスの情報が集約されたサービスの「入り口」や金銭に関わるプロセスの「出口」は、ワンタイムパスワードなどによる認証の強化は必須の箇所だといえる。
「パスワードの限界」はたびたび叫ばれるが、一方でパスワードを完全に置き換えられる認証方式は考案されていない。「そんなものがあれば、とっくに大手企業が実装しているでしょう」と徳丸氏は述べる。セキュリティ対策は、先行する業界を参考にした継続的なアップデートが必要で、ワンタイムパスワードはその中の有効な一手段といえる。
Copyright © ITmedia, Inc. All Rights Reserved.