オンライン・サービスにアクセスするデバイスの普及により、世界のデジタル接続性が飛躍的に高まるにつれ、ワイヤレス・インターネットにアクセスできるデバイスであれば、場所を問わず、世界中のあらゆるデータ、ソフトウェア、サービスにアクセスできるようになった。これにより、自宅でノートパソコンで仕事を始め、オフィスでデスクトップで受け取り、レストランでスマートフォンを使ってサインオフすることが可能になる。

しかし、オンライン・サービスの利便性は、脆弱性の増大を意味する。いつでも、どこでも、どんなデバイスでも、どんなネットワークでも」アクセスできることが、ヨーロッパなどの地域がオンライン・サービスにおける多要素認証の実装を義務化する方向に進んでいる理由である。

パスワード問題

パスワードを必要とする今日のレガシー知識ベース・セキュリティおよびアクセス（KBA）システムは、セキュリティおよび認証インフラストラクチャのコスト以上に、主要なアクセス方法としてパスワードを提供するための追加コストのない成熟した展開経路です。残念ながら、レガシーKBAのセキュリティ手法は、主にオンライン・サービスにアクセスするための単一のパスワードに依存しており、サイバー犯罪者の攻撃対象領域を拡大する一方で、重大な脆弱性を露呈しています。 

効果的な、あるいは「強力な」パスワードは、英数字のランダムな文字列で、覚えにくく、推測が不可能なものです。そのため、多くの人は覚えやすく、推測されやすく盗みやすい「簡単な」パスワードに頼ることが多い。

パスワードの脆弱性がオンラインサービスにまで拡大されると、正規のパスワードを盗んでしまえば、どこでも誰でも、どんなデバイスでもオンライン情報にアクセスできるようになる。盗まれた、あるいはフィッシングされたユーザー認証情報によってアカウントが乗っ取られた場合、KBAベースのオンラインサービスの利便性は、巨大な負債となる。

多要素認証のメリット

キーベースの多要素認証（MFA）は、パスワードの必要性だけでなく、さらなるチェックを追加します。キー・ベースの多要素認証は、レガシー・セキュリティ、ID、および認証システムを、最新のパスワードレスID認証に完全に置き換えることができます。顔、声、拇印などのキーベースのバイオメトリクスは、ユーザーのデバイス内の非対称暗号化秘密鍵によって保護され有効化されている場合、他人に盗まれることはありません。暗号化された USB キーのような他のメカニズムを使用して、USB キーの存在など、パスワー ドの横に追加のチェックを要求したり、電話のような別のデバイスに追加のテキスト／SMS メッセー ジを送信して 2 番目のコードを入力したりすることで、パスワードを強化することができる。

本人確認と認証に複数の要件を導入することで、オンライン・サービスは、誰かが正当なパスワードとユーザー・クレデンシャルを持っている場合に脆弱性が少なくなる。

このため、欧州連合（EU）のようなフェデレーションや、グーグルのような大手テック企業でさえ、キーベースの多要素認証をより広範に導入している。適切な統合を行うことで、MFAはパスワードのように推測されたり盗まれたりすることがないため、より高いセキュリティを提供する一方で、わかりにくく使いにくいパスワードよりも迅速かつ簡単に使用することができる。より多くの選択肢を提供し、おそらくより重要なこととして、これらの選択肢が便利で使いやすいことを保証することで、キーベースの多要素認証は、登録、ログイン、さらには支払い処理中のユーザーの摩擦を劇的に減らしながら、オンラインサービスをこれまで以上に安全にすることができます。

FIDOプロトコルを使用し、最新の鍵ベースのパスワードレス認証システムとゼロトラスト運用環境に移行することに興味がある方は、こちらをお読みください。

デジタル化されたデータの世界では、常にセキュリティが懸念されてきた。コンピューターや社内ネットワークへのアクセスは、初期の頃から問題になっていた。パスワード・システムのようなソリューションは、正当なユーザーが必要なデータにアクセスできるようにする一方で、権限のないユーザーを排除する「ゲートキーパー」を実装する最も簡単で便利な方法だった。

しかし、生活や仕事にコンピュータが登場したことで、デジタルの世界は大きく変わった。「クラウド・コンピューティング」は、データやソフトウェアが単一のデバイスに直接インストールされるのではなく、オンラインで運用される技術であり、適切なアクセス権を持つデバイスであれば、必要なソフトウェアやデータにアクセスできる可能性がある。

柔軟性は脆弱性を意味する

クラウド・コンピューティングは、データ・アクセスに利便性と柔軟性をもたらします。オンライン・アカウントと「クラウド」に保存されたデータやソフトウェアがあれば、ユーザーは必要なものにアクセスするために、特定の場所にある特定のデバイスで作業する必要がなくなる。世界の反対側にいても、ノートパソコンやスマートフォン、公共アクセス用のパソコンを使って、自宅やオフィスのパソコンで作成したものにアクセスできる可能性がある。

しかし、このデータにアクセスする手段は、セキュリティと利便性の間の微妙なラインを踏む必要がある。パスワード・ベースのシステムは導入も使用も簡単だが、今日の世界で最高レベルの保護を提供するには大きく劣る。

多要素認証はシートベルトである

パスワードのみのシステムでは、パスワードを盗んだり、正しく推測したり、フィッシングしたり、消去法で「総当たり」したりすると、データやソフトウェアへの完全で、「高速」、完全で、無制限のアクセスが可能になる。多要素認証システムは、顔、声、指紋のようなキーベースの生体認証要件を追加で課すなど、この種のオンライン事故に対する抑制として機能することができる。

追加の多要素認証を使うことで、パスワードを盗んだからといって、自動的に即座に完全なアクセスが可能になるわけではない。追加のキー認証なしでも、アクセスは制限される。課題は、いつものように、簡単さや利便性を犠牲にしないことである。キー・ベースのバイオメトリクスや、USBキーの挿入と検証を必要とするような他のメカニズムは、追加的な詳細を覚えておく必要性でユーザーに負担をかけないパスワード・レス・メカニズムを提供する。

クラウド・サービスがデータを保護する最善の方法は、簡単で便利な多要素認証セーフガードを見つけることだ。もしこれらが鍵ベースのパスワードレスシステムであれば、「強固な」保護を提供しながらも、従来のセキュリティシステムよりもさらに使いやすくなる可能性がある。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

キーベースの多要素認証は、データ、ネットワーク、またはユーザーアカウントへのアクセスを保護する最良の方法の1つです。1つのパスワードが解読されれば全てのアクセスが許可されるシングルパスワードシステムとは異なり、多要素認証は、完全なアクセスのために複数の構成要素が存在することを必要とし、フィッシングや他の形態のID窃盗が成功する可能性を劇的に減らします。

多要素認証は、FIDOプロトコルとキーペア技術を使用することで、従来のシングルパスワードによるセキュリティシステムよりも、より速く、より簡単に、より安全に行うことができます。

FIDOとは何か？

FIDOはFast Identity Onlineの略。FIDOは、従来の知識ベースのシステム（ユーザー名／パスワードなど）への依存を排除するため、システムや相互への統合が容易な暗号セキュリティ標準の確立に取り組む企業の世界的な連合体である。FIDOプロトコルは、指紋、音声、顔認識などのキーベースの生体認証、セキュリティ・トークン、NFCカード、その他のキーベースの多要素認証など、さまざまなセキュリティ手段を取り入れている。

業界標準が確立され、遵守されることで、さまざまなセキュリティ機器やソフトウェアが互換性を持ち、相互運用できるようになる。

キーペアとは何か？

キー・ペアは、2つのデジタル「キー」を作成するセキュリティ対策であり、これを一緒に使用する（「キー・ペア」）ことで、フィッシングに耐性のある方法でアカウント・アクセスを安全に許可するために使用される。公開鍵」と「秘密鍵」があり、サービスへのアクセスやデータの読み取りを成功させるには、その両方が必要となる。公開鍵は、ユーザー・アカウントがアクセスを許可する（暗号化機能を含むサービスに認証する）ために使用するもので、そのまま受信または理解できる生データを読み取り不可能な形式に暗号化する。 

秘密鍵は、デバイス上のユーザーがデータを復号し、再び読み取り可能にするために、提示と検証のために使用するものである。静止状態のデータをシステムから読み取り可能にし、サービスへのアクセスを許可するためには、両方の鍵が存在しなければならない。 

FIDOプロトコルのもとでは、ユーザーは通常の登録手続きを経て新しいユーザーアカウントを作成し、その間にシステムがアカウント用の公開鍵と秘密鍵のペアを作成する。登録が完了すると、ユーザーが鍵ペアで保護されたアカウントにアクセスしたい場合はいつでも、公開鍵を必要とするログインが必要となり、その後、暗号化を解読し、アカウントとアカウント内で保護されたデータにアクセスするために秘密鍵を提供する必要があります。

これは、ユーザー認証情報を盗み、「乗っ取られた」アカウントにアクセスするために使用される、従来のフィッシング技術や中間者攻撃に対するはるかに強力な保護形態である。2つの暗号鍵を必要とすることで、たとえ悪者が「アカウント」の公開鍵を盗んだとしても、秘密鍵がなければアカウントのロックを解除することも、データにアクセスすることもできないため、それ以上進むことはできない。

FIDOキー・ペアと多要素認証を使用して、サービスやデータにアクセスするデバイスのユーザーを保護することに興味がある方は、こちらをお読みください。

コンピュータが登場して以来、プログラム、アカウント、データへのゲートを開ける鍵は、伝統的にパスワードだった。これを補強するものとして、知識ベース認証（KBA）という形の補助が追加されてきた。しかし現在、パスワードやKBAが廃れるにつれて、パスワードレス認証やバイオメトリクスのような他のメカニズムが本領を発揮しつつある。

利便性は低下している

パスワードとKBAシステムはもともと、安くて簡単で比較的安全であるという理由で採用された。しかし、この3つの特質のうち、現在でも当てはまるのは安さだけである。使いやすさという点では、パスワードやKBAシステムは現在、ますます面倒になってきている。例えば、現在、ほとんどのセキュリティ勧告では、パスワードは解読や記憶が容易でないことを要求している。ベストプラクティスでは、自動システムが消去法でパスワードを割り出すのを阻止するため、英数字のランダムな文字列を推奨している。

秘密の質問」をしたり、ユーザーだけが知りうる知識に基づいてヒントや二次的なアクセス方法を提供する知識ベース認証もまた、精査されている。多くの場合、ペットの名前や母親の旧姓など、KBAの指標は、これらの情報の多くが公に自発的に投稿されているソーシャルメディア上の人物を熱心に研究することから得られるかもしれない。

脆弱性が増している

単一パスワードのみのセキュリティ・システムは、サイバー攻撃に対する最も安全性の低い対策のひとつになりつつある。たった1つのパスワードを解読するだけで、犯罪者は個人情報、機密性の高い財務データ、そして最悪の場合、実際の資金にアクセスできる可能性がある。フィッシング」や「中間者攻撃」のような手法が常に進化しているため、パスワードを傍受して使用することは、犯罪者にとってかつてないほど容易になっている。

これに対して、パスワードやKBAシステムを難しくすることは、ユーザーにとって不便になり、侵入的でさえある。現在、世論調査によれば、パスワードやKBAシステムは、脆弱性に起因するシステム保守レベルでも、より安全にしようとするあまり利便性が低下し、一般ユーザーレベルでも人気を失っている。

パスワードレス認証が解決策

これを解決するのが、パスワードレス認証システムの導入だ。その名が示すように、パスワードレス認証はパスワードを完全に排除する。生体認証のような他の方法は、顔、指紋、または他のユニークな識別子が必要なため、ユーザーは常に適切な「キー」を持っていることを保証する。 

多要素認証技術やパスワードレス・セキュリティについて詳しくお知りになりたい方は、Nok Nokの製品をご覧ください。

単一パスワードのみのシステムを使うことの危険性は、今やよく知られている。もしユーザーが怠け者で、"1234 "や "password "のような単純で覚えやすいパスワードを使うなら、これはパスワードがまったくないのとほぼ同じことだ。同時に、多くの人はランダムな16文字の英数字の文字列を覚えることができず、それを強要することは、パスワード・システムを本来の目的よりも遅く、面倒で、非効率なものにしてしまう可能性がある。パスワードレス認証を使用するセキュリティ・システムを実装する方法はある。

ある面では、既存の伝統的なパスワード・システムを利用し、セキュリティを高めるために手間のかかる要件を追加するよりも、より迅速で、より効率的で、より便利です。キー・ペアは、データをこれまで以上に安全にする方法のひとつである。

データの保護

データを保護する最も安全な方法のひとつは、暗号化してロックすることだ。暗号化とは、データが "書き換えられる "ことを意味し、そのためデータを見ても意味がわからず、ランダムなちんぷんかんぷんに見える。ロックするということは、誰でもアクセスできないようにするということであり、ファイルを開いて閲覧するためには、特定のインターフェイス、すなわちキーが必要になる。キーには様々な形があり、追加パスワードであったり、指紋のような生体認証であったり、あるいは最大限のセキュリティを確保するためにキー・ペアを使用することで、認証のレベルを上げることができます。

キー・ペアは、重要なデータをパスワードなしで認証する、非常に安全な形式である。ユーザーは2つの暗号鍵を受け取る。1つは「公開鍵」と呼ばれるもので、公開鍵暗号関数から選択される。次に、ユーザーだけが知っている「秘密鍵」を受け取る。

認証技術の混合

現在、ユーザーがデバイス上のデータにアクセスしたい場合、複数の認証手続きが必要だが、どれもパスワードを必要としない。スマートフォンのロックを解除するには、指紋や顔認証などの生体認証が必要な場合がある。しかし、データへのアクセスには公開鍵が必要である。しかし、その場合でも、データは暗号化されたまま解読できないため、データを持っているだけでは読めることにはならない。データを復号化し、再び使用可能な形にするためには、秘密鍵が必要となる。

2つの鍵を必要とすることで、キー・ペア・システムは、パスワードを必要とするフィッシングや「中間者（man in the middle）」攻撃のような従来の簡単な形態のサイバー攻撃を排除する。また、2つの鍵が必要であるということは、1つの鍵を盗んだとしても、データへのアクセスと復号化には両方の鍵が必要であるため、データへのアクセスが許可されないことを意味する。 

FIDOキー・ペアを使用して顧客、インフラ、重要なデータを保護することで、さらなる安心感を得たい場合は、こちらをお読みください。

パスワード・システムは、最も早く、最も簡単に導入できるセキュリティ・システムであったため、長年にわたって使われてきた。しかし、残念なことに、時が経つにつれ、これらの仕組み、特にシングルパスワードシステムは、不便で非常に脆弱であることが証明されてきた。

これが、ファスト・アイデンティティ・オンライン・アライアンス（FIDO）が、バイオメトリクスのようなパスワード不要のシステムを導入する方向に動いている理由のひとつである。しかし、これには独自の課題がある。現在、こうした障壁を克服するための取り組みがさらに進められている。

ロックとキーとしての電話

パスワード・フリー・システムの課題のひとつは、複数のデバイスに複数の認証メカニズムが必要なことに不便を感じる人がいることだ。パスワードは、たとえ不利であったとしても、多数のデバイスやアカウントに適用することができる。対照的に、パスワード・フリーの仕組みの中には、USBキーのように1つのデバイスに特化した周辺機器を必要とするものがあるため、複数のデバイスに複数の周辺機器を必要とする可能性があり、それらを使用することの困難さと不便さが増す。

これを合理化するひとつのアプローチは、スマートフォンなどのひとつのデバイスを複数のデバイスのセキュリティ・トークンとして機能させることだ。つまり、スマートフォンでパスワード・フリー・システムを使えば、デスクトップ・コンピューターやノート・パソコンへのアクセスが可能になり、そのデバイスに個別にログインする必要がなくなる。

マルチデバイス

より便利でシームレスなエクスペリエンスを実現するもうひとつのアプローチは、複数のデバイスに「プライベート・キー」を割り当てることだ。これにより、ユーザーはスマートフォン、PCログイン、または物理的なUSBキーやトークンを使って、パスワード不要のセキュリティ要件を認証できるようになる。特定のアカウントに特定のトークンやデバイスを要求するのではなく、これらのデバイスのどれでも受け入れられる。

これらのアプローチにより、パスワード・フリー・システムをより迅速かつ簡単に利用できるようになり、従来の脆弱で利便性の低いパスワード・ベースのセキュリティ対策からユーザーを引き離すことができる。これにより、特定の携帯電話やUSBセキュリティー・トークンを紛失しても、正当なユーザーにデータへのアクセスを許可することによる影響を軽減することができる。

未来に向けて

しかし、今後検討すべき問題はまだある。グーグルやマイクロソフトのような大手ハイテク企業は、複数のデバイス間でデータを同期させるために、独自のオンライン「クラウド」アーキテクチャを使用している。これは便利ではあるが、FIDOアライアンスはこれらのハイテク企業やサービスプロバイダーと緊密に協力し、このようなクラウド同期システム上の標準ベースのFIDO対応セキュリティが、個人データやアクセスを盗難、監視、侵入から守るのに十分な強度を持つようにしなければならない。セキュリティとユーザーエクスペリエンスのバランスは常に重要だ。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ウクライナでの戦争は、全世界に厳戒態勢を敷いている。侵略者であるロシアは、ウクライナだけでなく、侵略された国を助けようとする同調国にも敵意を広げているからだ。当然のことながら、伝統的なライバルであり、著名な同調者でもあるアメリカがその筆頭に挙げられている。しかし、その敵意は直接的な攻撃ではなく、サイバー戦争という形でもたらされる。

米国のさまざまな機関や企業が現在経験しているような持続的な自動デジタル侵入が起こる以前から、ロシアはすでに国家が支援するエージェントを使ってテストを行っていた。そして少なくとも一度、人間の過失が多要素認証の安全装置を迂回する代替ルートを提供した。

脆弱性の悪用

2021年5月、ある非政府組織は、多要素認証プロトコルを導入していたにもかかわらず、システムへの侵入を迅速かつ成功裏に経験した。国家に支援されたロシアのハッカーは、ネットワーク上のコンピュータ間で印刷ジョブを調整する印刷スプーラ・ソフトウェアのセキュリティ・ホールである「PrintNightmare」として知られる文書化された脆弱性を悪用した。 

PrintNightmareの脆弱性が悪用されると、ハッカーは制御を広げ、ネットワーク内のシステム特権を得ることができた。一旦内部に侵入すると、彼らは多要素認証セーフガードを無効にし、レジストリを編集し、自由にディレクトリを閲覧することができた。

経緯

この場合、真のMFAが導入されていれば、国家に支援されたハッカーがシステムにアクセスすることを防げただろう。残念なことに、ハッカーたちはまだ古いシステムを利用していた。侵入は、ハッカーたちが、登録はされているがアクティブでないアカウントを発見し、そのアカウントがまだデフォルトに設定されたパスワード・システムを使用していたことから起こった。

伝統的な「総当たり」手法を使って消去法でデフォルト・パスワードを割り出すことで、ハッカーたちは最終的に、はるかに強力な多要素認証システムに遭遇することなくシステムにアクセスできるようになった。非アクティブだがまだ有効なユーザー・アカウントというこの「バックドア」を使うことで、彼らはMFAシステム内に自分自身を登録し、それを基盤としてシステムの残りの部分に移動し、PrintNightmareの脆弱性を見つけ、それを悪用してネットワーク機能を掌握することができた。

注意事項

システム内の脆弱性の悪用は、もっと注意深くすれば決して起きなかっただろう。デフォルトのパスワードのまま非アクティブなアカウントを有効なままにしておくことは、はるかに強力な多要素認証システムをバイパスするための重大な抜け穴となる。

より安全なシステムのために、常に警戒を怠らないこと。MFAセーフガードに切り替える際には、より脆弱な古いパスワードアカウントとシステムを無効にすること。チェーンは最も弱いリンクと同じ強さしかない。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

デジタル技術の日常生活への統合が進むにつれて、ID窃盗は急速に²¹世紀のより一般的でありふれた犯罪のひとつとなりました。強盗のような物理的リスクや、強盗罪のような法的リスクよりも、ID窃盗は物理的に安全であると同時に、一般的な財布に現金として保管されているよりもはるかに多くの資金を盗むことができます。

そのために多くの戦術が用いられるが、より効果的で効率的な戦術のひとつが、"Man In The Middle "攻撃として知られるテクニックである。

仕組み

マン・イン・ザ・ミドル攻撃とは、郵便局員が郵便物を開封し、クレジットカード番号や社会保険番号などの重要な情報を読み取った後、手紙を閉じてポストに投函するのに相当するデジタル攻撃である。言い換えれば、重要なデータが盗まれるが、ユーザーは盗難が起きたことに気づかない。

中間者攻撃（Man In The Middle Attack）が実行される最も一般的な方法の1つは、無料Wi-Fiスポットを提供する犯罪者である。無料Wi-Fiを利用するつもりでログインした人々は、名前からパスワードに至るまですべての入力がWi-Fiプロバイダーによって監視・コピーされ、復号化されていることに気づかない。そして、犯罪者はそのデータを使ってアカウントにログインし、支配権を握るのだ。

マンインザミドル攻撃のより積極的な形態には、以下のようなものがある：

• IPスプーフィング
• DNSスプーフィング
• ARPスプーフィング

復号化のテクニックは、HTTPSスプーフィングからSSLストリッピングまで多岐にわたる。

パスワードレス認証のようなセキュリティ向上が必要

中間者攻撃は、パスワードレス認証のようなセキュリティの向上がデータ保護の重要な要素である理由の一つである。中間者攻撃は入力を傍受し、解読する。しかし、パスワードレス認証メカニズムは、デジタルコードやバイオメトリック認証で物理キーを使用して複製することはできない。 

パスワードが盗まれたとしても、キー、指紋、顔、目、その他のバイオメトリクス要件など、他のパスワードレス認証コンポーネントがなければ、泥棒はアクセスできない。マルチ認証セキュリティ・メソッドは、このようなより巧妙な形態の犯罪に打ち勝つために、追加の保護レイヤーを追加します。

中間者攻撃やその他の形態のサイバー犯罪侵入は、単一パスワード認証システムなどの脆弱性に依存している。しかし、FIDOプロトコルのような改善されたセキュリティ対策は、この種のサイバーセキュリティ侵害を撃退するのに役立つ。詳しくはこちらをお読みください。