Macは、PCのユビキタス性に匹敵する、最も愛されているコンピューティングデバイスのひとつである。その結果、アップルは新モデルを改良し続け、オペレーティング・システムをユーザーにとって最新で便利で簡単なものにし続けている。India Todayの報道によると、macOSは最近、ベータテスト段階で「Ventura」と名付けられた新バージョンを開発した。最終的には、様々なニーズを持つMacユーザーに歓迎されるであろう便利な新機能が追加される予定だ。

強化されたiPhoneとの接続性

iPhoneはすでに市場で最も優れたカメラのひとつですが、今回のVenturaの新機能により、MacユーザーはiPhoneをオンライン会議のウェブカメラとして活用できるようになります。ユーザーはiPhoneをMacに登録することで、いざというときにMacのカメラ入力をペアリングされたiPhoneに切り替えることができます。また、facetimeの通話を、あるデバイスから別のデバイスに完全に互換性をもって転送することもできるのです。

これでユーザーは、iPhone用の適切なマウントを用意するだけでよくなり、デスクトップやラップトップコンピュータに専用のウェブカメラが必要だった出費は過去のものとなった。ベンチュラのmacOSアップデートは、アップルのエコシステムをさらに活用している。

パスワードレス認証によるセキュリティ向上

macOS Venturaアップデートに含まれる大きな特徴は、パスワードレス認証のためのパスキーシステムの導入です。パスキーはサイバーセキュリティにおける新たな進化であり、その名の通りパスワードの必要性をなくすものです。パスキーはパスワードレス認証の一形態で、携帯電話やコンピューターなど特定のデバイスだけが持つ秘密鍵と、クラウドに保存された公開鍵の2つの鍵が存在します。

2つの鍵は、暗号化されたパズルを送信することで相互作用しなければならない。この暗号化された相互作用の結果、パスワードレス認証は従来のパスワード盗難を不可能にする。また、検証システムも暗号化されているため、オンライン活動の監視など、より高度なサイバー犯罪行為も、一方から他方へのデータが暗号化されているため、依然として解読不可能である。

より安全なコンピュータ

パスキーシステムによるパスワードレス認証は、Fast Identity Online Alliance（FIDO）が、従来のパスワードシステムの脆弱性を排除し、簡単に実装できる業界全体の標準を作成するために進めている取り組みの一環です。サイバーセキュリティを強化したパスキーの導入にご興味のある方は、Nok Nok Labsの次世代多要素認証技術とパスワードレス・セキュリティ対策について、こちらをご覧ください。

パスワードは最も古いデジタル・セキュリティ対策かもしれないが、それゆえに古さと脆弱性を示している。パスワードが単一要素セキュリティ認証メカニズムの唯一の構成要素である場合、パスワードを推測したり盗んだりすると、完全なアクセスが許可される。そのパスワードが複数のアカウントで使用されている場合、複数のアカウントが危険にさらされる可能性がある。インターネットが多要素認証の未来に向かって進み続ける一方で、従来のパスワードの偏在は今日でも問題であり、アップルは今、ユーザーのセキュリティを高めるための対策を用意している。

リスクを知る

CNet Centralが取り上げたように、アップルは現在、一部のアカウントでパスワードに依存しているiOSユーザーのために特別な保険を提供している。パスワードの盗難で最も恐れられていることのひとつは、たとえユーザー個人がパスワードの漏洩や盗難に遭わなくても、ユーザーデータベースを持つ大企業が侵害されれば、盗難に遭う可能性があるということだ。現在「内部」にいる犯罪者は、パスワードを含むユーザーデータにアクセスできる。

アップルは、他社とのデータ侵害を監視し、影響を受けるユーザーを監視する新しい対策を実施している。現在、iOSユーザーのデータとパスワードが他社のデータ侵害の一部となっている場合、iOSユーザーは脆弱性があることを通知され、自分のデータへの侵入の可能性を防ぐために、侵害されたアカウントのパスワードを変更するために迅速に行動することができます。

iOSユーザーがこれを有効にするためにしなければならないことは、以下の通りである：

• アップルデバイスの設定を開く
• 下にスクロールしてタップし、「パスワード」を選択
• Touch IDまたは選択したパスワードでロック解除
• セキュリティ勧告を有効にするにはタップする
• 危殆化したパスワードの検出」をオンに切り替える

そして今、iOSは、あなたの情報がデータ侵害の一部であるかどうかを監視し、あなたに通知します。パスワードを変更し、あなたのアカウントとデータを保護するために適切なセキュリティ対応策を講じるための早い警告を与えます。

未来への移行

幸いなことに、パスワードがますます脆弱になる一方で、より優れた技術がシステムや企業全体に導入されつつある。Fast Identity Online Alliance（FIDO）によって策定された普遍的な標準のおかげで、ユーザーの正当性を確認するために複数のメカニズムを使用する、次レベルの多要素認証が広く採用されつつある。このため、アップル、グーグル、マイクロソフトのような企業は、パスワードが最終的に廃止され、パスキーのようなはるかに強力で抵抗力のあるセキュリティ・メカニズムが人と企業を保護するように、他の企業と協力している。

パスキーとサイバーセキュリティの強化にご興味のある方は、Nok Nok Labsがどのようにパスキーを管理し、パスワードレス認証を実現しているか、こちらをご覧ください。

より多くの企業や一般市民が、データや財務活動のためにインターネットやサードパーティのオンライン・アプリケーションやストレージにますます依存するようになるにつれ、セキュリティはますます懸念されるようになり、セキュリティ侵害はさらに大きくなっている。かつてはサイバーセキュリティの専門家だけが心配しなければならない異国の犯罪であった「個人情報の盗難」は、今や人々にとっても企業にとっても日常的な脅威となっている。

この種のサイバーセキュリティ侵害の核心にあるのは、古くからのセキュリティ基準であるパスワードであり、テクノロジー企業が協力する中で、パスワードをなくすパスキーが将来的に大きくクローズアップされる理由のひとつである。

パスワードの弱点

従来の単一認証パスワード・システムには、主に2つのサイバーセキュリティ上の弱点がある。第一は、パスワードが単一アクセス・システムであることである。パスワードはシステムに与えられ、そのシステムは、誰がそのパスワードを提供しているかに関係なく、パスワードが正しいかどうかをチェックする。言い換えれば、盗まれたパスワードは完全なアクセスを許可する。

もうひとつの問題は不便さだ。最高の、つまり「強力な」パスワードは、英数字のランダムな長い文字列である。そのため、不便を避けるために、推測されやすい弱いパスワードを選び、パスワードを盗みやすくしているのだ。

Passkeyの違い

インディアン・エクスプレス紙が説明するように、パスキーはパスワードのサイバーセキュリティ上の脆弱性を排除する2つの重要な要素を提供する。このシステムは、この次レベルの多要素認証を使用しているため、検証システムは1つだけではありません。パスキーはパスワードの使用を排除し、代わりに2つの異なるパスキーシステム、公開鍵と秘密鍵の相互作用に依存する。

公開鍵はネットワークに割り当てられ、秘密鍵はスマートフォンやノートパソコンのようなデバイスに割り当てられるため、公開鍵や秘密鍵が盗まれる可能性はありますが、両方同時に盗難される可能性は低いと考えられます。さらに、暗号化された「パズル」が公開鍵によって送信され、秘密鍵によってのみ復号され解くことができるようになっています。暗号化された解答はネットワークに送り返され、公開鍵によって復号し、検証することで成功を確認します。このため、オンライン上のスパイであっても、やり取り中に暗号化が行われ、情報が盗まれることはありません。このため、FIDO（Fast Identity Online Alliance）はパスキーとその背後にあるFIDO技術の普及を推進しているのです。グーグルやアップルのような主要OSプラットフォーム・ベンダーはすでに導入しており、アマゾンやマイクロソフトのような他の企業も導入を進めています。  

パスキーやサイバーセキュリティの強化にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

より古く、より伝統的なデジタル・セキュリティ・システムでは、パスワード認証というおなじみの手法が使われている。正しいパスワードが与えられさえすれば、アクセスは許可される。しかし、今日のビジネス社会では、パスワード・システムはますます脆弱になり、盗難や侵入を受けやすくなっている。幸いなことに、パスワードレス認証システムは現在広く利用できるようになっており、Entrepreneurによれば、4つの主な利点があるという。

盗難削減

企業がパスワードを使用する場合、このシステムは、特に認証ポイントが1つしかない場合、より脆弱であり、より多くの侵入につながる可能性がある。フィッシングや、よく使われるパスワードを推測するような総当たり的な試みはすべて、個人情報の盗難、さらにはデータや資金の盗難につながる侵入につながる。

パスワードレス認証システムは、この盗難の可能性を大幅に減らす。

パスワードに基づく攻撃を無効化する

デジタル犯罪の最も一般的な形態には、被害者を騙してパスワードを吐かせる「フィッシング」や、キーボードのどのキーが押されているかを監視するスパイウェアである「キーロギング」などがある。しかし、パスワードレス認証は、パスワードに依存した犯罪の試みを完全に無効化する。

顔認証、指紋認証、音声認証、特定のデバイスに埋め込まれた暗号化キーに依存するパスキーなどの生体認証技術は、パスワードに基づく盗難の試みをすべて阻止する新しい多要素認証システムの一部である。

経費削減

些細なことでも、時間が経てば、その分だけ積み重なっていく。パスワードベースのセキュリティに関連する問題を処理するための費用は、パスワードレス認証によって削減または排除できる不必要な支出である。

パスワードの保管や、さらに重要なこととして、パスワードの管理にはコストがかかる。また、パスワードのリセット、パスワードの回復、犯罪行為が発生した場合のパスワード盗難の影響への対処などにも、時間と金銭的なコストがかかる。パスワードレス認証は、これらの費用を削減する。

ユーザー・エクスペリエンスの向上

顧客はスピード、効率、利便性を好みますが、古いパスワードベースのシステムはこれらすべてを阻害する可能性があります。複雑なパスワードを覚えなければならなかったり、いくつものパスワードを管理しなければならなかったりすると、ログインが遅くなり、特に顧客が覚えていなくて自分のデータにアクセスするためにリセットが必要な場合には、ログインが遅くなる可能性がある。

パスワードレス認証は、より速く、より安全で、より便利です。例えば、バイオメトリクス認証は、音声、指紋、顔など、ユーザーが常に持っているものだけを必要とします。つまり、重要なセキュリティ要素を忘れる心配がない。多要素認証のためのパスキーのような追加の冗長性があれば、これらのシステムは誰にとってもより安全なものになります。

パスワードレス認証システムを使用するFIDO技術の採用により、ますます安全なシステムが進化しています。パスワードレス認証システムへのアップグレード方法については、こちらをご覧ください。

バーチャル・プライベート・ネットワーク（VPN）は、一部のコンピュータ・ユーザーに便利なテクノロジー・ソリューションを提供する。VPNを使えば、ユーザーは暗号化されたプライベートな「仮想ネットワーク」を作ることができ、標準的なオープンネットワークよりも安全で、匿名性も確保できる。 

たとえば、VPNの最も一般的な使い方のひとつは、グローバルユーザーがVPNをアメリカのネットワークに偽装し、ローカルとは異なるアメリカ版のサービスにサインアップすることである。同様に、VPNを使用して、ユーザーが別の場所にいるようにコンピュータを欺くことで、航空券の異なる価格設定やスキームを利用できるようになる。

しかし、TechTarget Networkによると、この匿名性と特別なレベルのコントロールは、追加のサイバーセキュリティを提供するものの、SDPやゼロトラストネットワークなどの新しいプロトコルに比べると、VPNはまだ安全性の低い選択肢である。

SDPとは何か？

SDPとは、Software-Defined Perimeter（ソフトウェア定義境界）の略である。一般的なネットワークは、ハードウェアによって「境界」や「境界線」を定義する。プリンター、電話、セキュリティカメラ、そして家電製品もすべて検出可能なハードウェアであり、ネットワークの境界を定義し、攻撃するために発見され、使用される可能性がある。ソフトウェア定義の境界（SDP）は、ソフトウェアの「透明化」のようなもので、ネットワークのすべてのハードウェアの側面を隠し、従来のネットワーク検出手段からは見えないようにする。

その結果、サーバースキャン、SQLインジェクション、サービス拒否などの典型的なサイバーセキュリティの脅威は、SDPを見たり悪用したりすることができないため、ほとんど排除される。これは、暗号化されているとはいえ、従来のサイバーセキュリティ攻撃に対して脆弱な暗号化されていない通常のネットワーク上で実行される通常のVPNとの大きな違いです。

ゼロ・トラストの違い

旧来のサイバーセキュリティの慣行では、セッションの最初に1回の認証が要求され、認証されるとフルアクセスが許可されるのが一般的である。しかし、「ゼロ・トラスト・ネットワーク」は異なる哲学に基づいている。様々な相互作用のために複数の認証が要求されることがあり、ネットワークの他の部分へのアクセスは多くの場合非常に制限され、侵入障壁が迂回されたとしても、権限のないユーザーが与えることができる損害の量を軽減する。

この組み合わせにより、ゼロトラストのネットワークプロトコルを備えたSDPは、VPN単独よりもはるかに安全であることが保証される。しかし、SDPシステムは、独自のネットワーク内でVPNに対応できる柔軟性を備えているため、必要な場合はさらに高度なサイバーセキュリティレイヤーを追加できる。

パスワードレス認証システムを使用するFIDO技術など、これらの対策やその他の対策はセキュリティを向上させており、詳しくはこちらをご覧いただきたい。

ケヴィン・ミトニックはハッカーであり、最終的には電信詐欺罪で起訴され、起訴された。しかし、彼はそのような生活を捨て、米国政府やマイクロソフトのような有名なクライアントのためにサイバーセキュリティ・コンサルタントとしてのキャリアをスタートさせた。犯罪者としての長年の経験を生かし、デジタル侵入から身を守る方法を他の人々に教えている。CNBCによると、彼はより良いサイバーセキュリティに関心のある人に3つの重要な戦略を持っている。

サイバーセキュリティのための規律あるパスワード管理

まだパスワードに頼っている人にとって、不便かもしれないが、これらのシステムを使いながらセキュリティを高める最善の方法は、"強力なパスワード "を使うことだ。強力なパスワードとは、英数字のランダムな文字列のことで、推測を不可能にする。

複数の強力なパスワードを扱う最善の方法は、パスワード管理システムを使うことです。覚えやすいパスワードや推測しやすいパスワードに頼ったり、同じ強力なパスワードを繰り返し使ったりすると、ユーザーはパスワードを盗まれやすくなります。

NextLevel多要素認証へのアップグレード

さらに一歩踏み込みたい人は、多要素認証システムに切り替えることで、さらにセキュリティの層が厚くなる。従来のパスワードでは、アクセスできるのは1つのポイントだけだった。正しいパスワードを入力することで、全てのアクセスが可能になります。多要素認証はその名の通り、認証のレイヤーを増やします。

多要素認証は、電話越しにテキストで送信される追加コードの入力を要求するなど、追加の変数を使用することができる。あるいは、パスワードやコードを排除し、音声、顔、指紋認証などの生体認証や、携帯電話やラップトップなどの特定のデバイスに結びつけられた暗号化されたパスキーに頼ることもできる。

絶縁デバイス

究極のセキュリティのために、特に財務データやその他の機密データに関連する最後のヒントは、その目的のみに使用する特定のデバイスに投資することです。つまり、携帯電話、タブレット、ノートパソコン、デスクトップパソコンを購入し、金融データへのアクセス、機密データの保存、あるいは金融口座や機密口座へのログインは、これらのデバイスのみを使用することである。

これはより抜本的な方法だが、保護されたデータ専用のデバイスを持つことで、セキュリティは98％向上する。これらのデバイスが日常的なコンピューティング活動に使われることはなく、重要なデータ関連のやりとりのためだけに起動され利用されるのであれば、盗難の確率は劇的に低くなる。ただし、これにはより多くの時間と投資が必要となる。

ほとんどの人にとって、より現実的なシステムは、FIDOアライアンスが使用し提供している標準化されたプロトコルのような多要素認証システムにサイバーセキュリティをアップグレードすることである。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ビジネスの黎明期から、銀行業務は最もセキュリティを必要とするサービスのひとつであった。物理的な現金の盗難を防ぐにせよ、小切手が正当なものであることを保証するにせよ、バンキングは金融取引を促進するために信頼とセキュリティに依存している。

個人情報の盗難が後を絶たないデジタル時代の今、従来のパスワード・システムは輝きを失いつつあり、パスキーのようなより高度なセキュリティ・システムに目を向ける銀行が増えています。

パスキーとは？

従来のパスワードは、単一のセキュリティ・ポイントです。ユーザが必要なパスワードを知っていて、それを正しく入力すれば、デバイスやアカウントへのアクセスが許可されます。パスキーは、複数の認証手段を使用する多要素認証システムです。パスキーはパスワード不要で、通常はスマートフォンやノートパソコンなどのデバイスが主要なインターフェースとして機能し、必要に応じてBluetoothプロキシとして機能する必要があります。つまり、ユーザーはまず、顔認識、指紋、音声認識、PIN、あるいはスワイプ・パターンなど、さまざまな手段を使って自分の携帯電話にアクセスし、デバイスを認証します。  

これが完了すると、デバイスはブルートゥース接続を通じて追加の認証を行い、そのデバイスに関連付けられたアカウントに固有の「公開鍵」を送信し、「秘密鍵」と照合する。検証のこの部分は自動的に行われ、ユーザーからの追加アクションは必要ない。鍵の有効性が確認されると、ユーザーはそのデバイスからアカウントにアクセスできるようになる。ユーザーが別のデバイスを使用する必要がある場合、QRコードは、プライマリ・デバイスを使用する代わりに、その新しいデバイスに検証プロセスを転送するために必要となる。

より安全に

パスキーシステムの利便性とセキュリティは、従来のパスワードシステムに代わる効果的な手段と言えます。Fast Identity Online(FIDO)アライアンスのようなグループは、AppleやGoogleのような大手テクノロジー企業と密接に協力し、パスキーシステムの標準とプロトコルを統合し、多要素認証をより簡単で安全なデータ保護手段にしています。  

複数の認証システムを使用し、バイオメトリクスのようなパスワード不要の認証システムと組み合わせることで、ユーザーはランダムな英数字の長くて難しい文字列を覚える必要がなくなります。また、バイオメトリックデータを携帯電話やノートパソコンなどのデバイスに保存することで、データ自体のプライバシーが保たれ、認証情報がオンラインで盗まれることもありません。FIDO標準を使用した、より便利なパスワード不要の認証システムを統合した、俊敏でセキュリティ強化のためのパスキーシステムにご興味のある方は、こちらをお読みください。

米国では、データの送受信をスマートフォンなどのモバイル機器に依存する傾向が強まっており、有線インターネット接続と同程度のワイヤレス・データ通信のニーズが高まっている。その結果、最新・最速・最大のデータ伝送規格である5G無線ネットワークが続いている。ベライゾンやAT&Tといった最大手の通信会社は、175と100の顧客をカバーすると推定される展開を続けている。しかしこれは、5Gネットワークでより多くのデータが伝送されるため、より多くのセキュリティも必要になることを意味する。そして、パスワード不要の便利な認証システムを備えたゼロ・トラスト・ポリシーが、この成功に不可欠となる。

ゼロ・トラストとは何か？

その名が示すように、「ゼロ・トラスト」セキュリティとは、データにアクセスしようとする人やデバイスの正当性を仮定せず、ログインやトランザクションのすべての段階を通じて、複数の段階の検証と認証を必要とすることを意味する。パンデミックの影響で、多くの企業が従業員を自宅待機させ、自宅のデバイスや、場合によっては自分のスマート・デバイスさえも使用してデータにリモート・アクセスすることを余儀なくされたため、近年、この傾向はさらに強まっている。このため、デスクでオフィスのコンピュータを操作し、そのデバイスにローカルに保存されているデータにアクセスしているユーザーを物理的に確認できるため、そのユーザーがネットワークに正しくアクセスしていることがわかるといった、通常の信頼の仕組みの一部は、もはや当然のこととは言えなくなった。今、ワーカーは、あらゆる場所やデバイスからデータにリモート・アクセスできる必要があり、正当なユーザーの認証が最優先事項となっている。

ゼロ・トラスト・プロトコルの特徴の一つは、常に検証を行うことである。パスワードやバイオメトリクス認証を一度だけ受け入れ、残りの取引期間中、そのユーザーが何をしようと見て見ぬふりをするだけでは不十分である。検証は、さまざまな行動に対して継続的に行われる。したがって、パスワード不要の認証システムは、このプロセスを合理化する上で重要である。

ゼロ・トラスト・アプローチのもう一つの重要な側面は、"爆発半径の制限 "である。セキュリティ・プロトコルは、違反が起こらないことを前提にしているため、違反が発生した場合の不測の事態を想定していない場合、極めて脆弱である。ゼロ・トラスト・プロトコルは、何らかの侵害が起こることを前提に、アクセスや活動を区分けし、たとえ侵害が起こったとしても、単一の侵害がシステム全体を完全に集中制御することを許すのではなく、迅速に封じ込め、隔離できるようにする。

ゼロ・トラスト・セキュリティのコンセプトや、パスワード不要の認証システムへのFIDOプロトコルの組み込みに興味がある方は、こちらをお読みください。

パスワードと知識ベース・アクセス（KBA）はかつてサイバーセキュリティの先駆けであったが、テクノロジーの進化とデジタル接続の普及により、パスワードは徐々に過去のものとなりつつある。パスワードは、ユーザ、従業員、IT担当者の双方にとって厄介なものとなっており、ユーザは定期的に更新する必要のあるパスワードを覚えるのに苦労し、フラストレーションを募らせている。また、企業は、企業境界の内外を問わず、パスワードの回復やリセットにかかるOPEXや生産性・収益の損失で何百万ドルものコストを費やしている。パスワードレス認証は、このような事態を回避するのに役立ちます。

パスワードレス認証に移行するための4つのヒント

NokNok Inc.は、パスワードレス認証のパイオニアとして、組織や企業にサイバーセキュリティ向上のための移行を促してきた。多くの企業がパスワードレス認証への投資を始めていますが、この移行は難しいものです。以下のヒントは、関係者全員にとってよりスムーズな企業移行に役立ちます。

パスワードをできる限り管理する

移行を急がないこと。今後数年間、パスワードを使わなければならないのであれば、パスワードを安全に保つために最善を尽くすだけでよい。パスワード・マネージャーは引き続き資金援助を受けており、企業向けバージョンはパスワードを安全に保ちながら、パスワードの紛失を防ぐのに役立つ。パスワードマネージャーは、従業員がパスワードを忘れる心配なく、ユニークで複雑なパスワードを作成できるよう、強力な機能を提供している。その多くは、ウェブブラウザを含むウェブ認証とモバイルアプリ認証の両方を幅広くサポートしている。

多要素認証の重要性

多要素認証（MFA）は、従業員をパスワードレス・テクノロジーに移行させる素晴らしい方法である。MFAは、ユーザーや従業員を完全にパスワードレスに移行できない企業にとって、次の自然なステップである。ほとんどのパスワードレス・プラットフォームは、既存のセキュリティ・インフラに統合することができ、ほとんどのデバイスがすでにネイティブのバイオメトリック機能を提供しているため、最新のバイオメトリック認証と組み合わせたMFAを提供することができます。

真のSSOを使用して認証を一元化する

真のSSOは、セキュリティを向上させながら、パスワードレス認証への移行を容易にするもう一つのステップである。クラウドで提供される真のシングルサインオン（SSO）は、ユーザーが単一のアクセス認証情報のみを使用してデバイスやプラットフォームにログオンすることを可能にする。最新のパスワードレス・システムは、SSOインフラを幅広くサポートしている。

パスワードレス認証の現実性

パスワード・レスは間違いなく未来であり、今はここにとどまるが、世界のデジタル・サービスが完全にパスワード・レスになるまでには、まだ何年もかかるだろう。バイオメトリクス・ベースの認証にまだ馴染めない人が多いため、組織全体や顧客ベースが数年で完全にパスワードレスになるとは思わないでください。IT部門にセキュリティ・インフラの突然の変更で負担をかけることなく、パスワードレス認証への移行でセキュリティを向上させることは十分に可能だからだ。 ほとんどの企業インフラと、それらが接続されている複雑なエコシステムは、いまだに完全にパスワードとKBAに基づいている。デジタルトランスフォーメーション・プロジェクトは、移行完了まで数年かかることもある。

Nok Nok Inc.は、B2Cのパスワードレス認証、決済、トランザクション認証など、お客様のニーズに合わせた様々な機能を提供しています。バイオメトリクスベースのパスワードレス認証の導入に踏み切れないお客様のために、既存の多要素認証との統合もサポートしています。当社のサービスに移行した組織では、顧客のオンボーディング時間が50％短縮され、顧客のサインイン速度が78％向上しました。NokNokのパスワードレス・テクノロジーが提供するフィッシングに強い顧客セキュリティをご活用ください。Nok Nok Inc.の製品についてはこちらをご覧ください。

2022年は、ブロックチェーン・プラットフォームがサイバー攻撃者の標的となり、暗号投資家にとって厳しい年となった。これらの攻撃により、合計14億ドルが失われた。Axie Infinityを支えるブリッジのRoninは6億1500万ドルを失い、Jump Tradingが支えるブリッジのWormholeは3億2000万ドルを失い、Harmonyが支えるブリッジのHorizonは1億ドルを失い、Nomadからは約2億ドルが盗まれた。

ブロックチェーン・ネットワークはどのようにハッキングされたのか？

サイバー攻撃者はブロックチェーン技術、特にブロックチェーンブリッジと人間の脆弱性を悪用する。ブロックチェーンブリッジとは、人があるブロックチェーンネットワークから別のブロックチェーンネットワークにトークンを送り出すためのソフトウェアの一種である。ブリッジは、スマートコントラクトを人間の介入なしに実行できるようにするコードの一部であり、通常、あるネットワークから別のネットワークに転送される大きな値を保持する。十分なセキュリティがなければ、これらのブリッジは簡単に標的となる。

取引を成功させるには、まずバリデータが承認する必要があるが、ハッカーはバリデータを操作して秘密鍵を渡すように仕向けたり、資金を引き出すためにわずかな口座を侵害したりすることができる。ブリッジはブロックチェーン技術の中心であり、それだけに脆弱性の増大は大きな懸念材料である。

ハッカーが資金を盗むもう一つの方法は、人間の脆弱性を利用することである。被害者に資金を送金するよう説得するソーシャル・エンジニアリングの手口を使う者もいる。もう一つの方法は、単に暗号キーやプライベートなデジタル署名を盗むことで、アプリやウォレット、その他のレガシー認証でユーザーをデジタルサービスに認証するサードパーティー・ベンダーを通じて、そのアクセス権を得ることである。つまり、パスワードベースの認証だ。

パスワードレス認証による人的リスク要因の排除

暗号通貨は絶えず拡大しており、ブロックチェーン技術もそれとともに成長している。ブロックチェーン技術が高度な技術で運用されているにもかかわらず、サイバー犯罪者はパスワードによるログインのような基本的なものから侵入する方法を見つけることができる。

パスワードは長い間、サイバー攻撃者のお気に入りの脆弱性であった。ブロックチェーン・ネットワークのサイバー攻撃者が用いる手法は、いずれもパスワードの盗難をもたらす危殆化したフィッシングや中間者攻撃によって成功している。システムの相互接続性が高まっている今日、分散型ブロックチェーンのように洗練され安全な技術であっても、アクセスが分散しているため、パスワードのない強力な認証が必要となる。

アンフィッシャブルなキーベースのパスワードレス認証は、あらゆるプラットフォーム、特にサードパーティアプリケーションのブロックチェーンネットワークのセキュリティを高める一つの方法である。Nok Nok Inc.は、彼らが設立したグローバルな業界団体（FIDOアライアンス）とともに、極めて脆弱なレガシーパスワードや知識ベースのシステムアクセスへの人々の依存を減らすことを使命としている。

パスワードレス認証は、所有ベースおよびバイオメトリクス認証技術であり、パブリック・プライベート暗号に依存している。公開鍵と秘密鍵のペアが生成され、公開鍵はサービスと共有され、秘密鍵はPINまたは生体認証で保護されたユーザーのデバイス内に安全に保管される。このシステムはエンドユーザーにとって非常に便利であり、安全でもある。

Nok Nokのパスワードレス認証システムでサイバーセキュリティを強化できます。Nok Nok Inc.の業界をリードするFIDOプラットフォームについての詳細は、こちらからお問い合わせください。