コンピュータが登場して以来、プログラム、アカウント、データへのゲートを開ける鍵は、伝統的にパスワードだった。これを補強するものとして、知識ベース認証（KBA）という形の補助が追加されてきた。しかし現在、パスワードやKBAが廃れるにつれて、パスワードレス認証やバイオメトリクスのような他のメカニズムが本領を発揮しつつある。

利便性は低下している

パスワードとKBAシステムはもともと、安くて簡単で比較的安全であるという理由で採用された。しかし、この3つの特質のうち、現在でも当てはまるのは安さだけである。使いやすさという点では、パスワードやKBAシステムは現在、ますます面倒になってきている。例えば、現在、ほとんどのセキュリティ勧告では、パスワードは解読や記憶が容易でないことを要求している。ベストプラクティスでは、自動システムが消去法でパスワードを割り出すのを阻止するため、英数字のランダムな文字列を推奨している。

秘密の質問」をしたり、ユーザーだけが知りうる知識に基づいてヒントや二次的なアクセス方法を提供する知識ベース認証もまた、精査されている。多くの場合、ペットの名前や母親の旧姓など、KBAの指標は、これらの情報の多くが公に自発的に投稿されているソーシャルメディア上の人物を熱心に研究することから得られるかもしれない。

脆弱性が増している

単一パスワードのみのセキュリティ・システムは、サイバー攻撃に対する最も安全性の低い対策のひとつになりつつある。たった1つのパスワードを解読するだけで、犯罪者は個人情報、機密性の高い財務データ、そして最悪の場合、実際の資金にアクセスできる可能性がある。フィッシング」や「中間者攻撃」のような手法が常に進化しているため、パスワードを傍受して使用することは、犯罪者にとってかつてないほど容易になっている。

これに対して、パスワードやKBAシステムを難しくすることは、ユーザーにとって不便になり、侵入的でさえある。現在、世論調査によれば、パスワードやKBAシステムは、脆弱性に起因するシステム保守レベルでも、より安全にしようとするあまり利便性が低下し、一般ユーザーレベルでも人気を失っている。

パスワードレス認証が解決策

これを解決するのが、パスワードレス認証システムの導入だ。その名が示すように、パスワードレス認証はパスワードを完全に排除する。生体認証のような他の方法は、顔、指紋、または他のユニークな識別子が必要なため、ユーザーは常に適切な「キー」を持っていることを保証する。 

多要素認証技術やパスワードレス・セキュリティについて詳しくお知りになりたい方は、Nok Nokの製品をご覧ください。

単一パスワードのみのシステムを使うことの危険性は、今やよく知られている。もしユーザーが怠け者で、"1234 "や "password "のような単純で覚えやすいパスワードを使うなら、これはパスワードがまったくないのとほぼ同じことだ。同時に、多くの人はランダムな16文字の英数字の文字列を覚えることができず、それを強要することは、パスワード・システムを本来の目的よりも遅く、面倒で、非効率なものにしてしまう可能性がある。パスワードレス認証を使用するセキュリティ・システムを実装する方法はある。

ある面では、既存の伝統的なパスワード・システムを利用し、セキュリティを高めるために手間のかかる要件を追加するよりも、より迅速で、より効率的で、より便利です。キー・ペアは、データをこれまで以上に安全にする方法のひとつである。

データの保護

データを保護する最も安全な方法のひとつは、暗号化してロックすることだ。暗号化とは、データが "書き換えられる "ことを意味し、そのためデータを見ても意味がわからず、ランダムなちんぷんかんぷんに見える。ロックするということは、誰でもアクセスできないようにするということであり、ファイルを開いて閲覧するためには、特定のインターフェイス、すなわちキーが必要になる。キーには様々な形があり、追加パスワードであったり、指紋のような生体認証であったり、あるいは最大限のセキュリティを確保するためにキー・ペアを使用することで、認証のレベルを上げることができます。

キー・ペアは、重要なデータをパスワードなしで認証する、非常に安全な形式である。ユーザーは2つの暗号鍵を受け取る。1つは「公開鍵」と呼ばれるもので、公開鍵暗号関数から選択される。次に、ユーザーだけが知っている「秘密鍵」を受け取る。

認証技術の混合

現在、ユーザーがデバイス上のデータにアクセスしたい場合、複数の認証手続きが必要だが、どれもパスワードを必要としない。スマートフォンのロックを解除するには、指紋や顔認証などの生体認証が必要な場合がある。しかし、データへのアクセスには公開鍵が必要である。しかし、その場合でも、データは暗号化されたまま解読できないため、データを持っているだけでは読めることにはならない。データを復号化し、再び使用可能な形にするためには、秘密鍵が必要となる。

2つの鍵を必要とすることで、キー・ペア・システムは、パスワードを必要とするフィッシングや「中間者（man in the middle）」攻撃のような従来の簡単な形態のサイバー攻撃を排除する。また、2つの鍵が必要であるということは、1つの鍵を盗んだとしても、データへのアクセスと復号化には両方の鍵が必要であるため、データへのアクセスが許可されないことを意味する。 

FIDOキー・ペアを使用して顧客、インフラ、重要なデータを保護することで、さらなる安心感を得たい場合は、こちらをお読みください。

パスワード・システムは、最も早く、最も簡単に導入できるセキュリティ・システムであったため、長年にわたって使われてきた。しかし、残念なことに、時が経つにつれ、これらの仕組み、特にシングルパスワードシステムは、不便で非常に脆弱であることが証明されてきた。

これが、ファスト・アイデンティティ・オンライン・アライアンス（FIDO）が、バイオメトリクスのようなパスワード不要のシステムを導入する方向に動いている理由のひとつである。しかし、これには独自の課題がある。現在、こうした障壁を克服するための取り組みがさらに進められている。

ロックとキーとしての電話

パスワード・フリー・システムの課題のひとつは、複数のデバイスに複数の認証メカニズムが必要なことに不便を感じる人がいることだ。パスワードは、たとえ不利であったとしても、多数のデバイスやアカウントに適用することができる。対照的に、パスワード・フリーの仕組みの中には、USBキーのように1つのデバイスに特化した周辺機器を必要とするものがあるため、複数のデバイスに複数の周辺機器を必要とする可能性があり、それらを使用することの困難さと不便さが増す。

これを合理化するひとつのアプローチは、スマートフォンなどのひとつのデバイスを複数のデバイスのセキュリティ・トークンとして機能させることだ。つまり、スマートフォンでパスワード・フリー・システムを使えば、デスクトップ・コンピューターやノート・パソコンへのアクセスが可能になり、そのデバイスに個別にログインする必要がなくなる。

マルチデバイス

より便利でシームレスなエクスペリエンスを実現するもうひとつのアプローチは、複数のデバイスに「プライベート・キー」を割り当てることだ。これにより、ユーザーはスマートフォン、PCログイン、または物理的なUSBキーやトークンを使って、パスワード不要のセキュリティ要件を認証できるようになる。特定のアカウントに特定のトークンやデバイスを要求するのではなく、これらのデバイスのどれでも受け入れられる。

これらのアプローチにより、パスワード・フリー・システムをより迅速かつ簡単に利用できるようになり、従来の脆弱で利便性の低いパスワード・ベースのセキュリティ対策からユーザーを引き離すことができる。これにより、特定の携帯電話やUSBセキュリティー・トークンを紛失しても、正当なユーザーにデータへのアクセスを許可することによる影響を軽減することができる。

未来に向けて

しかし、今後検討すべき問題はまだある。グーグルやマイクロソフトのような大手ハイテク企業は、複数のデバイス間でデータを同期させるために、独自のオンライン「クラウド」アーキテクチャを使用している。これは便利ではあるが、FIDOアライアンスはこれらのハイテク企業やサービスプロバイダーと緊密に協力し、このようなクラウド同期システム上の標準ベースのFIDO対応セキュリティが、個人データやアクセスを盗難、監視、侵入から守るのに十分な強度を持つようにしなければならない。セキュリティとユーザーエクスペリエンスのバランスは常に重要だ。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ウクライナでの戦争は、全世界に厳戒態勢を敷いている。侵略者であるロシアは、ウクライナだけでなく、侵略された国を助けようとする同調国にも敵意を広げているからだ。当然のことながら、伝統的なライバルであり、著名な同調者でもあるアメリカがその筆頭に挙げられている。しかし、その敵意は直接的な攻撃ではなく、サイバー戦争という形でもたらされる。

米国のさまざまな機関や企業が現在経験しているような持続的な自動デジタル侵入が起こる以前から、ロシアはすでに国家が支援するエージェントを使ってテストを行っていた。そして少なくとも一度、人間の過失が多要素認証の安全装置を迂回する代替ルートを提供した。

脆弱性の悪用

2021年5月、ある非政府組織は、多要素認証プロトコルを導入していたにもかかわらず、システムへの侵入を迅速かつ成功裏に経験した。国家に支援されたロシアのハッカーは、ネットワーク上のコンピュータ間で印刷ジョブを調整する印刷スプーラ・ソフトウェアのセキュリティ・ホールである「PrintNightmare」として知られる文書化された脆弱性を悪用した。 

PrintNightmareの脆弱性が悪用されると、ハッカーは制御を広げ、ネットワーク内のシステム特権を得ることができた。一旦内部に侵入すると、彼らは多要素認証セーフガードを無効にし、レジストリを編集し、自由にディレクトリを閲覧することができた。

経緯

この場合、真のMFAが導入されていれば、国家に支援されたハッカーがシステムにアクセスすることを防げただろう。残念なことに、ハッカーたちはまだ古いシステムを利用していた。侵入は、ハッカーたちが、登録はされているがアクティブでないアカウントを発見し、そのアカウントがまだデフォルトに設定されたパスワード・システムを使用していたことから起こった。

伝統的な「総当たり」手法を使って消去法でデフォルト・パスワードを割り出すことで、ハッカーたちは最終的に、はるかに強力な多要素認証システムに遭遇することなくシステムにアクセスできるようになった。非アクティブだがまだ有効なユーザー・アカウントというこの「バックドア」を使うことで、彼らはMFAシステム内に自分自身を登録し、それを基盤としてシステムの残りの部分に移動し、PrintNightmareの脆弱性を見つけ、それを悪用してネットワーク機能を掌握することができた。

注意事項

システム内の脆弱性の悪用は、もっと注意深くすれば決して起きなかっただろう。デフォルトのパスワードのまま非アクティブなアカウントを有効なままにしておくことは、はるかに強力な多要素認証システムをバイパスするための重大な抜け穴となる。

より安全なシステムのために、常に警戒を怠らないこと。MFAセーフガードに切り替える際には、より脆弱な古いパスワードアカウントとシステムを無効にすること。チェーンは最も弱いリンクと同じ強さしかない。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

デジタル技術の日常生活への統合が進むにつれて、ID窃盗は急速に²¹世紀のより一般的でありふれた犯罪のひとつとなりました。強盗のような物理的リスクや、強盗罪のような法的リスクよりも、ID窃盗は物理的に安全であると同時に、一般的な財布に現金として保管されているよりもはるかに多くの資金を盗むことができます。

そのために多くの戦術が用いられるが、より効果的で効率的な戦術のひとつが、"Man In The Middle "攻撃として知られるテクニックである。

仕組み

マン・イン・ザ・ミドル攻撃とは、郵便局員が郵便物を開封し、クレジットカード番号や社会保険番号などの重要な情報を読み取った後、手紙を閉じてポストに投函するのに相当するデジタル攻撃である。言い換えれば、重要なデータが盗まれるが、ユーザーは盗難が起きたことに気づかない。

中間者攻撃（Man In The Middle Attack）が実行される最も一般的な方法の1つは、無料Wi-Fiスポットを提供する犯罪者である。無料Wi-Fiを利用するつもりでログインした人々は、名前からパスワードに至るまですべての入力がWi-Fiプロバイダーによって監視・コピーされ、復号化されていることに気づかない。そして、犯罪者はそのデータを使ってアカウントにログインし、支配権を握るのだ。

マンインザミドル攻撃のより積極的な形態には、以下のようなものがある：

• IPスプーフィング
• DNSスプーフィング
• ARPスプーフィング

復号化のテクニックは、HTTPSスプーフィングからSSLストリッピングまで多岐にわたる。

パスワードレス認証のようなセキュリティ向上が必要

中間者攻撃は、パスワードレス認証のようなセキュリティの向上がデータ保護の重要な要素である理由の一つである。中間者攻撃は入力を傍受し、解読する。しかし、パスワードレス認証メカニズムは、デジタルコードやバイオメトリック認証で物理キーを使用して複製することはできない。 

パスワードが盗まれたとしても、キー、指紋、顔、目、その他のバイオメトリクス要件など、他のパスワードレス認証コンポーネントがなければ、泥棒はアクセスできない。マルチ認証セキュリティ・メソッドは、このようなより巧妙な形態の犯罪に打ち勝つために、追加の保護レイヤーを追加します。

中間者攻撃やその他の形態のサイバー犯罪侵入は、単一パスワード認証システムなどの脆弱性に依存している。しかし、FIDOプロトコルのような改善されたセキュリティ対策は、この種のサイバーセキュリティ侵害を撃退するのに役立つ。詳しくはこちらをお読みください。 

マイクロソフトは、1980年代に始まったコンピューター革命に不可欠な役割を果たした、世界最大かつ最古のテクノロジー企業の1つである。Oktaは、アイデンティティ・コントロールと他社向けユーザー認証（IAMセキュリティ・ソフトウェアとして知られる）を専門とする、大成功を収めているソフトウェア企業である。そのような素晴らしい血統にもかかわらず、両社は "Lapsus$"として知られる新進気鋭の犯罪グループによってハッキングに成功している。しかし、なぜこのようなことが起こったのか、そして多要素認証は使われたのか？

ラプサス$とは？

Lapsus$は、もともとブラジルで始まったサイバー犯罪グループである。他のハッカー・グループと同様、サイバー犯罪はオンラインという性質上、メンバーは厳密に出身国に限定されない。彼らは2021年12月に活動を開始したばかりで、デジタル犯罪シーンに最近登場した。

しかし、彼らはすでに韓国の大手電子機器メーカー、サムスンやグラフィックカード・メーカーのエヌビディア、さらにはゲーム開発・パブリッシャーのユービーアイソフトなどへの侵入に成功していることが確認されている。彼らは企業の標的を狙い、機密データを盗み出し、身代金を支払わない限りそのデータを公開することを専門としている。

Oktaに何が起こったのか？

Oktaは直ちに影響を受けたクライアントに知らせると同時に、侵入の影響を受けたのは全顧客の2.5%に過ぎなかったと公表した。調査を行った結果、サポート・エンジニアがノートパソコンを5日間無防備な状態にしており、その間にハッキングされた可能性が高いと結論づけた。

このケースでは、Oktaの内部セキュリティが失敗したのではなく、個人のエンジニアによるセキュリティ対策の怠慢が原因でアカウントが乗っ取られ、侵害されたシステムにアクセスされたのだ。

マイクロソフトに何が起こったか

マイクロソフトは、コルタナやビングなどのソフトウェアのソースコードを含む40GB以上のデータを盗まれ、ネット上に公開された。マイクロソフトが調査を行ったところ、データ盗難に関与したのは1つのアカウントであったが、適切な認証によってアクセスが許可されていたため、そのアカウントはハッキングされていなかったことが判明した。

この場合、アカウントは「ソーシャル・エンジニアリング」によって侵害された。ソーシャル・エンジニアリングとは、ハッカーがユーザーを欺いて自発的にアカウント情報を提供させることで、通常は関係者を装うか、ユーザーが他の種類のデータが入っていると思い込んでいるUSBキーにマルウェアをインストールし、それがシステムにインストールされると制御を奪取する。 

鍵ベースの多要素認証がもたらす違い

だからこそ、キーベースの多要素認証を実装し、使用する規律が非常に重要なのだ。特定のデバイスやオンライン・アカウントのパスワードを盗むのは簡単だ。キー・ペアを含むこのタイプの多要素認証では、パスワードだけではアカウント・アクセスを許可できないように、追加のゲートとチェックが追加される。しかし、多要素認証が機能するのは、人々がそれに従う規律と、SMS-OTPや電子メール・コードなどの第2の認証要素を使用する余分な作業を引き受ける回復力を持っている場合だけである。

FIDOプロトコルを使用し、フィッシングやその他のアカウント乗っ取りを防止する最大限のセキュリティを提供する、キーベースのパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

大手テクノロジー企業は、ユーザーから膨大な量の個人データを集めている。そのため、彼らは顧客と株主の両方に対して、データが安全であり、ハッキングや侵入といった従来型の方法で簡単に盗まれることがないことを保証するために懸命に働いている。アップルとメタ（フェイスブックの親会社）という世界最大級のハイテク企業2社にとって、これは確かに事実である。しかし、大企業といえども、時には巧妙に仕組まれた欺瞞に引っかかることがある。

ヒューマン・ファクター

ソーシャル・エンジニアリングとは、ほとんどのセキュリティ・チェーンで最も弱いリンクであるヒューマン・エラーを攻撃することです。ソーシャル・エンジニアリングは、信頼を得たり、貪欲さを利用したり、恐怖を誘発したり、その他の心理的な操作戦術を用いることで、被害者を騙して、安全でないシステムを危険にさらすような行動を自発的に実行させます。

アップルとメタの両社の場合、ここでのソーシャル・エンジニアリングの手口は、ハッカーが法執行官になりすまして緊急データ要求を送るというものだった。この合法的な法的要請は、応じる前に召喚状や令状、その他裁判所が承認した文書を提示するという要件を無効にするものだ。この偽の緊急データ要求に直面したAppleとMetaの従業員は、これに応じ、IPアドレス、住所、電話番号を引き渡した。

継続的な挑戦

特に、生体認証やその他の形態のサイバーセキュリティなど、一般的に最新のセキュリティ対策を採用している企業にとっては恥ずべきことではあるが、アップルもメタも、ハッカーに渡したデータの全容を明らかにしていない。しかし、どのようなサイバーセキュリティ対策が講じられていても、一部の犯罪者は諦めず、欲しいデータを手に入れるために最も極端な手段に訴えるということは、犯罪者の野心を物語っている。

生体情報、USB暗号化、復号鍵、その他のパスワード不要の認証方法はすべて、信じられないほど効率的なサイバーセキュリティの形態です。しかし、それらは個人保護の一形態であり、個人が自分のデータへのアクセスを制限するために必要なセキュリティを提供するものです。ソーシャル・エンジニアリングのスキームが、ピラミッドの「頂点」であるデータ・テクノロジー企業自体で機能した場合、何が起こるかは計り知れません。データ・テクノロジー企業は、合法的で検証可能な法的要求が提示されれば、あらゆるセキュリティを無効にし、要求に応じてデータを提供することができます。

アップルの変化

アップルは2020年秋、パスワードレス認証の世界における新たなグローバルスタンダードであるFIDOアライアンスに加盟した。アップルは現在、「Passkey」として知られるマルチデバイスFIDO標準を作成し、ユーザーがFIDO秘密鍵を使用してアップルアカウントにアクセスできるようにしている。デバイスを紛失したり交換したりした場合、FIDO秘密鍵はユーザーが所有する別のアップル・デバイスから復元できる。アップルが他の340のFIDOアライアンスメンバーに加わったことで、FIDOアライアンスのグローバルな確立は完了したとみなされる。

しかし、すべての企業が自社のサイバーセキュリティに真剣に取り組むことは極めて重要である。システムやネットワーク上のデータは保護されなければならない。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

仕事用コンピューティングにおける最近のトレンドのひとつは、「できる」、より正確には、データやアプリケーションのオンラインストレージの登場である。コンピュータやスマートフォンといった物理的なデバイスのローカルストレージにデータやソフトウェアを直接保存してアクセスするのではなく、データやソフトウェアをオンラインに保存するのだ。デバイスはインターネット上の適切なプラットフォームにアクセスするだけで、データや機能にアクセスできる。パンデミック（世界的大流行）により、健康と安全上の理由から在宅勤務やその他の形態のハイブリッドワークが不可欠となったため、この2年間はこれが極めて重要なものとなった。しかし、それは同時に、デジタル犯罪がこの新たなフロンティアに目を向けるようになったことを意味し、サイバーセキュリティの強化の必要性を意味する。

ワークロードのサイバー・セキュリティ・リスク

サイバーセキュリティにおける最大の課題のひとつは、ID窃盗によって一個人のリソースが危険にさらされることである。言い換えれば、誰かのクレジットカードが盗まれれば、その人のクレジット購入は外部の行為者によってコントロールされることになる。

しかし、クラウド・ベース・コンピューティングのサイバーセキュリティはさらに問題が多い。クラウドベースのワーク・ソリューションでは、1台のローカル・マシンやハードディスク上ではなく、世界中のどこからでも個人（あるいは犯罪者）が自分の仕事にアクセスできる。さて、その個人の仕事量と管理者権限の程度によっては、サイバー攻撃の権限とアクセスの量は壊滅的なものになる可能性がある。一人の幹部が、以下のすべての部下のデータで構成されるワークロードを持っている場合、それは膨大な量のデータへのアクセスとなる。これがマイクロソフトのアジュールやアマゾン・ウェブ・サービスのような異なるクラウドサービスに分散していれば、リスクはより大きくなる。

ステップ

企業は現在、ID保護だけでなく、ワークロードの管理と保護も考慮しなければならない。単一のユーザーのワークロードを保護しなければ、他のシステムやデータへの広範なアクセスは重大なサイバー・セキュリティ・リスクを引き起こす。

企業は、多要素認証システムやバイオメトリクスを統合して、単一パスワードによるセキュリティ・システムからの脆弱性を減らすなど、より優れた安全策を検討する必要がある。例えば、デジタルキーの使用により、安全な情報がオンラインに送信される危険性を排除することができる。しかし、企業は、真に安全なシステムのために、ワークロードがどのように発生し、誰がそれを管理し、それらのワークロードが侵入に対してどの程度脆弱であるかを注意深く評価する必要がある。

クラウドベースのストレージやコンピューティングは驚くほど効率的で便利ですが、適切に保護する必要もあります。クラウドベースのセキュリティ強化のために、Nok Nokの多要素認証技術やパスワード不要のセキュリティ対策についてご紹介します。