ウクライナでの戦争は、全世界に厳戒態勢を敷いている。侵略者であるロシアは、ウクライナだけでなく、侵略された国を助けようとする同調国にも敵意を広げているからだ。当然のことながら、伝統的なライバルであり、著名な同調者でもあるアメリカがその筆頭に挙げられている。しかし、その敵意は直接的な攻撃ではなく、サイバー戦争という形でもたらされる。

米国のさまざまな機関や企業が現在経験しているような持続的な自動デジタル侵入が起こる以前から、ロシアはすでに国家が支援するエージェントを使ってテストを行っていた。そして少なくとも一度、人間の過失が多要素認証の安全装置を迂回する代替ルートを提供した。

脆弱性の悪用

2021年5月、ある非政府組織は、多要素認証プロトコルを導入していたにもかかわらず、システムへの侵入を迅速かつ成功裏に経験した。国家に支援されたロシアのハッカーは、ネットワーク上のコンピュータ間で印刷ジョブを調整する印刷スプーラ・ソフトウェアのセキュリティ・ホールである「PrintNightmare」として知られる文書化された脆弱性を悪用した。 

PrintNightmareの脆弱性が悪用されると、ハッカーは制御を広げ、ネットワーク内のシステム特権を得ることができた。一旦内部に侵入すると、彼らは多要素認証セーフガードを無効にし、レジストリを編集し、自由にディレクトリを閲覧することができた。

経緯

この場合、真のMFAが導入されていれば、国家に支援されたハッカーがシステムにアクセスすることを防げただろう。残念なことに、ハッカーたちはまだ古いシステムを利用していた。侵入は、ハッカーたちが、登録はされているがアクティブでないアカウントを発見し、そのアカウントがまだデフォルトに設定されたパスワード・システムを使用していたことから起こった。

伝統的な「総当たり」手法を使って消去法でデフォルト・パスワードを割り出すことで、ハッカーたちは最終的に、はるかに強力な多要素認証システムに遭遇することなくシステムにアクセスできるようになった。非アクティブだがまだ有効なユーザー・アカウントというこの「バックドア」を使うことで、彼らはMFAシステム内に自分自身を登録し、それを基盤としてシステムの残りの部分に移動し、PrintNightmareの脆弱性を見つけ、それを悪用してネットワーク機能を掌握することができた。

注意事項

システム内の脆弱性の悪用は、もっと注意深くすれば決して起きなかっただろう。デフォルトのパスワードのまま非アクティブなアカウントを有効なままにしておくことは、はるかに強力な多要素認証システムをバイパスするための重大な抜け穴となる。

より安全なシステムのために、常に警戒を怠らないこと。MFAセーフガードに切り替える際には、より脆弱な古いパスワードアカウントとシステムを無効にすること。チェーンは最も弱いリンクと同じ強さしかない。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

デジタル技術の日常生活への統合が進むにつれて、ID窃盗は急速に²¹世紀のより一般的でありふれた犯罪のひとつとなりました。強盗のような物理的リスクや、強盗罪のような法的リスクよりも、ID窃盗は物理的に安全であると同時に、一般的な財布に現金として保管されているよりもはるかに多くの資金を盗むことができます。

そのために多くの戦術が用いられるが、より効果的で効率的な戦術のひとつが、"Man In The Middle "攻撃として知られるテクニックである。

仕組み

マン・イン・ザ・ミドル攻撃とは、郵便局員が郵便物を開封し、クレジットカード番号や社会保険番号などの重要な情報を読み取った後、手紙を閉じてポストに投函するのに相当するデジタル攻撃である。言い換えれば、重要なデータが盗まれるが、ユーザーは盗難が起きたことに気づかない。

中間者攻撃（Man In The Middle Attack）が実行される最も一般的な方法の1つは、無料Wi-Fiスポットを提供する犯罪者である。無料Wi-Fiを利用するつもりでログインした人々は、名前からパスワードに至るまですべての入力がWi-Fiプロバイダーによって監視・コピーされ、復号化されていることに気づかない。そして、犯罪者はそのデータを使ってアカウントにログインし、支配権を握るのだ。

マンインザミドル攻撃のより積極的な形態には、以下のようなものがある：

• IPスプーフィング
• DNSスプーフィング
• ARPスプーフィング

復号化のテクニックは、HTTPSスプーフィングからSSLストリッピングまで多岐にわたる。

パスワードレス認証のようなセキュリティ向上が必要

中間者攻撃は、パスワードレス認証のようなセキュリティの向上がデータ保護の重要な要素である理由の一つである。中間者攻撃は入力を傍受し、解読する。しかし、パスワードレス認証メカニズムは、デジタルコードやバイオメトリック認証で物理キーを使用して複製することはできない。 

パスワードが盗まれたとしても、キー、指紋、顔、目、その他のバイオメトリクス要件など、他のパスワードレス認証コンポーネントがなければ、泥棒はアクセスできない。マルチ認証セキュリティ・メソッドは、このようなより巧妙な形態の犯罪に打ち勝つために、追加の保護レイヤーを追加します。

中間者攻撃やその他の形態のサイバー犯罪侵入は、単一パスワード認証システムなどの脆弱性に依存している。しかし、FIDOプロトコルのような改善されたセキュリティ対策は、この種のサイバーセキュリティ侵害を撃退するのに役立つ。詳しくはこちらをお読みください。 

マイクロソフトは、1980年代に始まったコンピューター革命に不可欠な役割を果たした、世界最大かつ最古のテクノロジー企業の1つである。Oktaは、アイデンティティ・コントロールと他社向けユーザー認証（IAMセキュリティ・ソフトウェアとして知られる）を専門とする、大成功を収めているソフトウェア企業である。そのような素晴らしい血統にもかかわらず、両社は "Lapsus$"として知られる新進気鋭の犯罪グループによってハッキングに成功している。しかし、なぜこのようなことが起こったのか、そして多要素認証は使われたのか？

ラプサス$とは？

Lapsus$は、もともとブラジルで始まったサイバー犯罪グループである。他のハッカー・グループと同様、サイバー犯罪はオンラインという性質上、メンバーは厳密に出身国に限定されない。彼らは2021年12月に活動を開始したばかりで、デジタル犯罪シーンに最近登場した。

しかし、彼らはすでに韓国の大手電子機器メーカー、サムスンやグラフィックカード・メーカーのエヌビディア、さらにはゲーム開発・パブリッシャーのユービーアイソフトなどへの侵入に成功していることが確認されている。彼らは企業の標的を狙い、機密データを盗み出し、身代金を支払わない限りそのデータを公開することを専門としている。

Oktaに何が起こったのか？

Oktaは直ちに影響を受けたクライアントに知らせると同時に、侵入の影響を受けたのは全顧客の2.5%に過ぎなかったと公表した。調査を行った結果、サポート・エンジニアがノートパソコンを5日間無防備な状態にしており、その間にハッキングされた可能性が高いと結論づけた。

このケースでは、Oktaの内部セキュリティが失敗したのではなく、個人のエンジニアによるセキュリティ対策の怠慢が原因でアカウントが乗っ取られ、侵害されたシステムにアクセスされたのだ。

マイクロソフトに何が起こったか

マイクロソフトは、コルタナやビングなどのソフトウェアのソースコードを含む40GB以上のデータを盗まれ、ネット上に公開された。マイクロソフトが調査を行ったところ、データ盗難に関与したのは1つのアカウントであったが、適切な認証によってアクセスが許可されていたため、そのアカウントはハッキングされていなかったことが判明した。

この場合、アカウントは「ソーシャル・エンジニアリング」によって侵害された。ソーシャル・エンジニアリングとは、ハッカーがユーザーを欺いて自発的にアカウント情報を提供させることで、通常は関係者を装うか、ユーザーが他の種類のデータが入っていると思い込んでいるUSBキーにマルウェアをインストールし、それがシステムにインストールされると制御を奪取する。 

鍵ベースの多要素認証がもたらす違い

だからこそ、キーベースの多要素認証を実装し、使用する規律が非常に重要なのだ。特定のデバイスやオンライン・アカウントのパスワードを盗むのは簡単だ。キー・ペアを含むこのタイプの多要素認証では、パスワードだけではアカウント・アクセスを許可できないように、追加のゲートとチェックが追加される。しかし、多要素認証が機能するのは、人々がそれに従う規律と、SMS-OTPや電子メール・コードなどの第2の認証要素を使用する余分な作業を引き受ける回復力を持っている場合だけである。

FIDOプロトコルを使用し、フィッシングやその他のアカウント乗っ取りを防止する最大限のセキュリティを提供する、キーベースのパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

大手テクノロジー企業は、ユーザーから膨大な量の個人データを集めている。そのため、彼らは顧客と株主の両方に対して、データが安全であり、ハッキングや侵入といった従来型の方法で簡単に盗まれることがないことを保証するために懸命に働いている。アップルとメタ（フェイスブックの親会社）という世界最大級のハイテク企業2社にとって、これは確かに事実である。しかし、大企業といえども、時には巧妙に仕組まれた欺瞞に引っかかることがある。

ヒューマン・ファクター

ソーシャル・エンジニアリングとは、ほとんどのセキュリティ・チェーンで最も弱いリンクであるヒューマン・エラーを攻撃することです。ソーシャル・エンジニアリングは、信頼を得たり、貪欲さを利用したり、恐怖を誘発したり、その他の心理的な操作戦術を用いることで、被害者を騙して、安全でないシステムを危険にさらすような行動を自発的に実行させます。

アップルとメタの両社の場合、ここでのソーシャル・エンジニアリングの手口は、ハッカーが法執行官になりすまして緊急データ要求を送るというものだった。この合法的な法的要請は、応じる前に召喚状や令状、その他裁判所が承認した文書を提示するという要件を無効にするものだ。この偽の緊急データ要求に直面したAppleとMetaの従業員は、これに応じ、IPアドレス、住所、電話番号を引き渡した。

継続的な挑戦

特に、生体認証やその他の形態のサイバーセキュリティなど、一般的に最新のセキュリティ対策を採用している企業にとっては恥ずべきことではあるが、アップルもメタも、ハッカーに渡したデータの全容を明らかにしていない。しかし、どのようなサイバーセキュリティ対策が講じられていても、一部の犯罪者は諦めず、欲しいデータを手に入れるために最も極端な手段に訴えるということは、犯罪者の野心を物語っている。

生体情報、USB暗号化、復号鍵、その他のパスワード不要の認証方法はすべて、信じられないほど効率的なサイバーセキュリティの形態です。しかし、それらは個人保護の一形態であり、個人が自分のデータへのアクセスを制限するために必要なセキュリティを提供するものです。ソーシャル・エンジニアリングのスキームが、ピラミッドの「頂点」であるデータ・テクノロジー企業自体で機能した場合、何が起こるかは計り知れません。データ・テクノロジー企業は、合法的で検証可能な法的要求が提示されれば、あらゆるセキュリティを無効にし、要求に応じてデータを提供することができます。

アップルの変化

アップルは2020年秋、パスワードレス認証の世界における新たなグローバルスタンダードであるFIDOアライアンスに加盟した。アップルは現在、「Passkey」として知られるマルチデバイスFIDO標準を作成し、ユーザーがFIDO秘密鍵を使用してアップルアカウントにアクセスできるようにしている。デバイスを紛失したり交換したりした場合、FIDO秘密鍵はユーザーが所有する別のアップル・デバイスから復元できる。アップルが他の340のFIDOアライアンスメンバーに加わったことで、FIDOアライアンスのグローバルな確立は完了したとみなされる。

しかし、すべての企業が自社のサイバーセキュリティに真剣に取り組むことは極めて重要である。システムやネットワーク上のデータは保護されなければならない。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

仕事用コンピューティングにおける最近のトレンドのひとつは、「できる」、より正確には、データやアプリケーションのオンラインストレージの登場である。コンピュータやスマートフォンといった物理的なデバイスのローカルストレージにデータやソフトウェアを直接保存してアクセスするのではなく、データやソフトウェアをオンラインに保存するのだ。デバイスはインターネット上の適切なプラットフォームにアクセスするだけで、データや機能にアクセスできる。パンデミック（世界的大流行）により、健康と安全上の理由から在宅勤務やその他の形態のハイブリッドワークが不可欠となったため、この2年間はこれが極めて重要なものとなった。しかし、それは同時に、デジタル犯罪がこの新たなフロンティアに目を向けるようになったことを意味し、サイバーセキュリティの強化の必要性を意味する。

ワークロードのサイバー・セキュリティ・リスク

サイバーセキュリティにおける最大の課題のひとつは、ID窃盗によって一個人のリソースが危険にさらされることである。言い換えれば、誰かのクレジットカードが盗まれれば、その人のクレジット購入は外部の行為者によってコントロールされることになる。

しかし、クラウド・ベース・コンピューティングのサイバーセキュリティはさらに問題が多い。クラウドベースのワーク・ソリューションでは、1台のローカル・マシンやハードディスク上ではなく、世界中のどこからでも個人（あるいは犯罪者）が自分の仕事にアクセスできる。さて、その個人の仕事量と管理者権限の程度によっては、サイバー攻撃の権限とアクセスの量は壊滅的なものになる可能性がある。一人の幹部が、以下のすべての部下のデータで構成されるワークロードを持っている場合、それは膨大な量のデータへのアクセスとなる。これがマイクロソフトのアジュールやアマゾン・ウェブ・サービスのような異なるクラウドサービスに分散していれば、リスクはより大きくなる。

ステップ

企業は現在、ID保護だけでなく、ワークロードの管理と保護も考慮しなければならない。単一のユーザーのワークロードを保護しなければ、他のシステムやデータへの広範なアクセスは重大なサイバー・セキュリティ・リスクを引き起こす。

企業は、多要素認証システムやバイオメトリクスを統合して、単一パスワードによるセキュリティ・システムからの脆弱性を減らすなど、より優れた安全策を検討する必要がある。例えば、デジタルキーの使用により、安全な情報がオンラインに送信される危険性を排除することができる。しかし、企業は、真に安全なシステムのために、ワークロードがどのように発生し、誰がそれを管理し、それらのワークロードが侵入に対してどの程度脆弱であるかを注意深く評価する必要がある。

クラウドベースのストレージやコンピューティングは驚くほど効率的で便利ですが、適切に保護する必要もあります。クラウドベースのセキュリティ強化のために、Nok Nokの多要素認証技術やパスワード不要のセキュリティ対策についてご紹介します。

米国政府は最近、「ゼロ・トラスト」戦略をすべての機関に統合するため、広範かつ包括的なイニシアチブを実施すると発表した。しかし、これは具体的に何を意味するのだろうか？それは、より優れた、より安全な多要素および暗号ベースの認証を既存の政府機関に導入するという目標であり、より多くのセキュリティIDチェックを意味するが、障害はより少ない。

何もかもが当たり前ではない

その名が示すように、「ゼロ・トラスト」戦略は、検証なしに額面どおりに受け取られるべきでないという仮定の下で機能する。しかしこの場合、検証は異なるメカニズムやセキュリティ機能を通じて複数回行われる可能性があり、これは暗号鍵ペアを組み合わせた多要素認証の基本概念である。

従来の "信頼された "セキュリティー・システムでは、1回の検証で十分である。従来のシングル・パスワード・システムがその好例である。例えばマネージャーは、従業員記録、銀行口座番号や社会保障番号のような従業員データ、さらには購買データベースを介した顧客のクレジット番号や郵送先住所まで、完全にアクセスすることができる。パスワードは、英数字のランダムな文字列のような複雑なものから、マネージャーが "password "という単語を使うだけのシンプルなものまである。万が一、そのパスワードが盗まれたり、犯罪者に推測されたりした場合、管理者が持っていたアクセス権や管理権はすべて他の誰かに移ってしまう。パスワードが必要ない場合もある。オフィスにあるマネージャーのデスクトップ・コンピューターにログインしさえすれば、システム、ネットワーク、データへの完全なアクセスが許可される。

ゼロ・トラスト・ストラテジーは、このような前提を一切持たず、暗号化多要素認証がこの哲学の要となる。ゼロトラストの実装がどの程度広範囲に及ぶかにもよるが、ログインする人の身元を確認するだけでは十分ではない。ログインに使用された接続とデバイスのタイプさえも確認する必要があるかもしれない。そして、機密データへのアクセスや支払いトランザクションの実行など、価値の高いイベントについては、その人の身元が継続的にチェックされる。

これは、クラウドストレージやクラウドコンピューティングベースのアプリケーションによって、正規のユーザーがソフトウェアやデータにどこからでもアクセスできるようになった時代において特に重要である。多要素認証は、本社のオフィス内で機密データにアクセスする人が、日本で会社支給のスマートフォンから同じことを素早く行うことを可能にする。重要な違いは、たとえパスワードやスマートフォンが盗まれたとしても、ゼロ・トラストという暗号ベースの多要素認証の哲学が、盗まれた認証が1つ、2つ、あるいは3つで十分であることを防ぐ安全装置を備えていることだ。

バイオメトリクス、デジタルキー、その他の設計上の工夫により、複数の認証システムを煩雑にすることなく、迅速かつ簡単に行うことができます。Nok Nokの最新のIDおよびパスワードレス認証技術が、今日の多要素セキュリティ対策をどのように保護しているかについて、詳しくはこちらをご覧ください。

シングルパスワードシステムに頼ることの最大の負債のひとつは、そのパスワードを知っている誰にでも、前例のないコントロールとアクセスを許してしまうことである。残念ながら、パスワードが盗まれる可能性を減らす唯一の方法は、パスワードを覚えやすくすることであり、その結果、犯罪者がますます洗練され、自動化された手法によって、パスワードを推測したり、解明したりすることを容易にすることである。

逆に、ランダムな英数字の羅列によってパスワードを推測しにくくすることは、パスワードの使用を遅く、難しく、不便にし、その効率性を排除すると同時に、アクセスを許可するために単一のパスワードのみに依存するリスクを依然として残すことになる。

FIDO、パスワードレス認証でセキュリティ向上

FIDOアライアンスは、"fast online identity"（高速オンライン・アイデンティティ）の略称である。FIDOプロトコルは、ブラウザ、プラットフォーム、およびデバイス間でこれらの暗号対策が相互運用可能であることを保証するために、デバイスやソフトウェアプラットフォーム間で互換性のある暗号標準を作成します。FIDOの目標は、フィッシングに強いパスワードレス認証システムを可能にすると同時に、ユーザー体験を摩擦のないシームレスなものにすることである。 これらの最新のセキュリティ技術は、ユーザー名やパスワードのような個人的な秘密や情報の収集、保存、入力に基づくレガシーシステムよりも、ユーザーアクセスをより速く、より簡単に、より効率的に、より安全にする。

FIDOは、非対称暗号化方式を使用し、暗号化されたユーザーの1ステップで2要素認証を提供するキー・ペアとして知られるデュアル・キー・ベースの認証システムを通じてこれを実現している。

複数のメカニズム

対称暗号化は、ほとんどの人が知っているものだ。データを入れたUSBキーなど、1つのデバイスを使って何かを暗号化したり「ロック」したりする。キーが存在すれば、データは暗号化され、アクセスできず、読み取ることもできない。同じ鍵が存在する場合、データにアクセスすることができ、復号化されて読み取ることができる。

非対称暗号化は2つの鍵に依存する。ひとつは「公開鍵」で、ユーザーが保護すべきデータの暗号化形式を選択できるようにする。もうひとつは「秘密鍵」で、復号化のために存在しなければならない。 

言い換えれば、公開鍵が複製されたり盗まれたりしても、データへのアクセス権が与えられるだけである。データにアクセスしたり、ソフトウェア・サービスにアクセスしたりするには、正しい公開鍵とそのペアである秘密鍵の両方が存在する必要があるため、データは依然として読み取ることができない。FIDOキー・ペア・システムの組み合わせは、ランダムな英数字の強力で覚えにくい文字列を作成する不便さをなくし、また、公開されているソーシャルメディアのプロフィールや投稿を検索して得られることが多い、ヒントのために母親の旧姓を尋ねるような知識ベースの認証システムもなくす、簡単なパスワード不要の認証システムを作り出す。

FIDOプロトコルを使用し、パスワードレスのIDおよび認証システムに移行することに興味がある方は、こちらをお読みください。

ロシアの侵攻に対するウクライナの防衛という²¹世紀最初の大きな軍事的交戦の過程で、デジタル戦争が重要な役割を果たしていることも明らかになった。残念ながら、サイバーセキュリティ戦争は軍事目標だけに限定されるものではない。このことは、ウクライナも、米国を含む世界中の同盟国も、今、自ら発見していることである。

その結果、ホワイトハウスは現在、すべての関連機関や組織のコンピューター・ネットワークに「ゼロ・トラスト戦略」を導入するため、積極的に前進すると宣言している。

サイバーセキュリティのために、信頼せず、常に検証する

皮肉なことに、ゼロ・トラスト戦略のルーツはロシアの諺にある。その意味するところは、たとえ信頼している人や物があったとしても、その相手があなたが期待している人なのかどうか、常に時間をかけて確かめるべきだということである。

サイバーセキュリティの観点では、ゼロトラスト戦略とは、ネットワークのインフラが以前に受け入れた個人、アカウント、またはハードウェアの一部が正当であっても、ユーザーの真正性を検証する必要があることを意味する。これは、正規のユーザーが世界中のどのデバイスからでもログインできる可能性がある、今日のワイヤレス世界ではさらに重要なセキュリティ・プロトコルである。認知されたユーザーが、身元を確認するスタッフとともに安全なビルに入り、自分のオフィスに入って安全なネットワーク内でコンピュータを使うというのは、ひとつのことだ。その同じ人物が、途中でユーザーの身元を確認することなく、まったく別の国でスマートフォンを使って安全なデータベースにログインしていると主張するのは、別の問題だ。

包括的だが価値ある取り組み

複数の政府機関を最新のゼロ・トラスト準拠のセキュリティフレームワークに取り込む取り組みは、迅速でも、安価でも、容易でもないだろう。各機関はすでに確立された独自の慣例とプロトコルを有しているため、異なる組織のニーズを尊重するためには、多くの適応と進化が必要になるだろう。

しかし、アメリカ政府がゼロ・トラスト・アーキテクチャに積極的に取り組んでいることは、²¹世紀のサイバーセキュリティの本質を物語っている。世界中どこからでも簡単にアクセスできることに依存し続ける中で、クラウドベースのストレージやアプリケーション、多要素認証、そしてゼロトラスト戦略のその他の要素が不可欠となっている。たった一つのパスワードが盗まれれば、膨大な量のデータとシステム制御を放棄することになる。多要素認証、暗号鍵ペア、ゼロ・トラスト戦略は、さらなる安全策を保証する。

モダンIDと暗号化多要素認証は、サイバーセキュリティを向上させる一つの方法です。Nok NokのモダンIDおよびパスワードレス認証技術について、また多要素のセキュリティ対策をどのように保護し、安心感を高めるかについてはこちらをご覧ください。

デジタル決済システムの利用には、非常に大きな利便性とスピードがある。一般消費者にとっては、クレジットカードや暗号通貨を利用したオンライン決済により、地元では購入できないような世界中の商品を購入することができる。企業にとっては、オンライン決済は偽札による不正な支払いの可能性を排除する。すべての取引は、本物の資金を使用した合法的なものである。

しかし、実際の取引が合法的で適法だからといって、購入者が合法的であるとは限りません。そこで、サイバーセキュリティの侵害により、オンライン取引による支払い詐欺が増加している。

ID窃盗と口座乗っ取りによる支払い詐欺

今日の決済詐欺の手口は、偽札を印刷し、その偽札を使って買い物をするといった従来の戦略からシフトしている。今日のデジタル犯罪者は、脆弱な口座を探し、その口座を掌握し、その口座に関連する資金や決済システムを使って買い物をする。言い換えれば、お金は本物で、口座も正当なものだが、口座を使っている人物が正当な所有者からそのアクセス権を盗んだか、所有者が知らないうちに口座を使っているということだ。

この結果、被害者は最終的に、購入した覚えのない買い物の領収書やその他の支払い証明を受け取ることになる。これは、誰かが財布を盗まれ、泥棒がその現金を使って買い物をするのと同じことである。

詐欺の増加

決済詐欺は、特にいくつかの重要な分野で増加している：

• デジタルウォレット
• ペイメント・サービス・プロバイダー取引
• 暗号通貨取引
• 今すぐ購入、後払い取引
• ロイヤリティ特典ポイント

毎年、何十億ドルもの決済詐欺が発生しているが、その原因のひとつは、レガシー・セキュリティ・システムの不備にある。特に、不注意な顧客が容易に解読可能なパスワードを使用した場合、多要素認証を有効にしていても、単一のパスワードのみのセキュリティシステムは信じられないほど脆弱である。強力な単一パスワードが使用されている場合でも、犯罪者が「キーロギング」を使用すれば、これを打ち破ることができる。

多要素認証は、この種の ID 窃盗に対してシステムを「強化」する追加的な方法の 1 つである。これらのサイバー・セキュリティ対策は、物理的・デジタル的な「鍵」や生体認証などの追加的なサイバー・セキュリティ・コンポーネントを使用して、より強固なセキュリティの層を追加する。パスワードが盗まれても、追加の認証要素がなければ、パスワードだけではアカウントへのアクセスやコントロールはできない。

しかし、課題は、サイバー・セキュリティ対策が妨害することなく保護を提供できるようにすることにある。セキュリティ機能によって購入が難しくなるようでは、良いことよりも悪いことの方が多い。そこでNok NokのFIDOプロトコルの活用のような取り組みが重要な役割を果たす。詳しくはこちらをご覧ください。 

特殊軍事作戦という慎重な言葉が使われているが、紛れもない事実として、大規模な軍事力がウクライナの広大な土地に侵攻し、場合によっては破壊している。現在、苦境にあるウクライナとロシアの侵略者との間で戦争が繰り広げられているが、ウクライナ防衛の主要な支援国であるアメリカとその企業は、サイバーセキュリティに対する攻撃の危険にさらされている。

前例との戦い

ウクライナのデジタルインフラはすでにサイバー攻撃の影響を受けている。電気インフラから輸送関連のネットワークまで、あらゆるものが侵害されている。長年にわたり、ロシアはアメリカのサイバーセキュリティを破る限界を試し、アメリカもそれに応えてきた。

しかし、ある国と別の国との間の公然たる戦争によって、世界は今、デジタル空間が第二の戦場となり、しばしば二次的だが重要な結果をもたらすことを目の当たりにしている。そして、アメリカは戦争に直接参加してはいないが、ウクライナの主要な支援国としての役割によって、アメリカのデジタル空間はプーチンの "ギャング外交 "の標的となっている。

期待すること

サイバーセキュリティに対する攻撃のターゲットになりやすいのは、伝統的に4つのセクターである。金融は、ロシアが歴史に残る制裁の犠牲者となっているため、誰も驚かないだろう。エネルギー部門もそのひとつで、発電の制御権を奪ったり、正当なユーザーを発電から締め出したりしようとする攻撃がある。ロジスティクスは常に計画や作戦の成功に重要な役割を果たすからだ。

しかし、ロシアのサイバー攻撃は意図的な戦略による攻撃だけでなく、機会を狙った攻撃でもあることに注意することは極めて重要である。ロシアの攻撃は、必ずしも個人が特定の名指しされた標的だけを狙って行っているわけではない。彼らはどこでも積極的に脆弱性を探し、見つかればそれを悪用する。

単一パスワードのみの知識ベースのサイバー・セキュリティ・システムに依存することは、あらゆるビジネスにとって深刻な脆弱性を露呈しかねない。多要素認証システム、あるいは暗号化生体認証のような他の手段を用いたパスワードレス認証システムは、システムの信頼性と安全性を桁違いに高める。パスワードレス・システムには盗まれる可能性のあるパスワードがなく、多要素認証システムにとっては、パスワードが漏洩しても、もはやシステムやアクセス・コントロールが与えられることを意味しない。一度だけランダムに生成されるコードや、物理的なデジタル・キーの検出など、それらの追加要素がなければ、システムにはアクセスできないままである。

サイバーセキュリティの変革にご興味のある方は、Nok Nokの最新のIDおよびパスワードレス認証技術、暗号化された多要素セキュリティ対策について、さらに詳しくご覧ください。