近年、金融とテクノロジーの分野で最も人気が高まっているトレンドのひとつが「暗号通貨」の利用だ。これは、ドルのような不換紙幣が持つような物理的・歴史的根拠を持たないデジタルマネーの一形態である。暗号通貨はインターネット上で共有されるコンピューター・コードとして存在し、その価値はインターネット全体で常に確認され、再確認される。また、規制緩和されており、どの国や銀行の管理下にもないため、政府が管理できない資産となっている。

しかし、この人気の高まりは、暗号通貨に対する監視の目を厳しくしている。米国政府は現在、暗号通貨を規制するための基礎固めを行っているが、その問題のひとつは、暗号通貨をめぐるサイバーセキュリティへの懸念が高まっていることだ。現在、暗号通貨は高い確率で盗難に遭っている。

アカウント盗難

暗号通貨はドル紙幣のように偽造することはできないが、不換紙幣よりも盗まれやすい面もある。暗号通貨に対する一般的な誤解のひとつに、取引を追跡するのが非常に難しいため、違法な取引に人気があるというものがある。しかし、暗号取引はブロックチェーン上に不変的に保存されるという事実が、サイバー犯罪者や窃盗犯の追跡を容易にしている。

しかし、暗号通貨には重大なサイバーセキュリティ上の問題がある。従来のウェブ技術をベースにしているため、暗号通貨の所有者が取るか取らないかの安全策によっては、暗号口座が盗まれ、資金が別の場所に送金される可能性がある。さらに、今日の暗号口座は、1つの暗号キーがユーザーのIDと口座の電子財布アドレスの両方に使用されるため、脆弱でもある。 

パスワードだけでは不十分

暗号通貨が極めて脆弱になる可能性があるのは、所有者が通貨のセキュリティをたった一つのパスワードに委ねている場合だ。たった一つのパスワードが判明したり、フィッシングなどの手法で盗まれたりすれば、その口座の管理権は奪われ、正規のユーザーは自分の資金から締め出され、暗号通貨は別の口座に移される。暗号通貨の最大の売りである匿名性と規制のなさは、最大の弱点でもある。

暗号通貨を保護する最善の方法は、特別な予防措置を講じることだ。多要素認証は、アカウントの乗っ取りをより困難にする一つの方法である。最新のFIDO生体認証のようなパスワードレス認証システムなど、他のサイバーセキュリティ対策に切り替えることも、典型的なフィッシングや個人情報窃盗の手口がシステムに侵入できないようにする方法のひとつだ。 

デジタルストレージやデジタルアクセスへの依存が高まる中、サイバーセキュリティ対策もそれに対応する必要があります。最高のデジタル保護と安心のために、Nok Nokの最新のアイデンティティとパスワードレス認証、そして多要素セキュリティ対策について、詳しくはこちらをご覧ください。

イングランド北東部に位置する高等教育機関、サンダーランド大学が、大学を狙ったサイバー攻撃の増加する波の中で、新たな犠牲者の一人となった。ここ数ヶ月の間に、同じくイングランドのニューカッスル大学や、米国ワシントンDCのハワード大学など、他の学校もサイバーセキュリティに対する同様の脅威に見舞われている。

サンダーランド大学の場合、このサイバー攻撃により、学生はオンライン、遠隔／通信教育の授業にログインできなくなり、職員は大学のネットワークに保存されている電子メールやその他のデータにアクセスできなくなった。同校のオンライン・インフラは、復旧作業によってネットワークがオンラインに戻り、学生や職員がアクセスできるようになるまで、5日間にわたって使用不能となった。

大学が新たな標的に

世界的な大流行が人々の生活や働き方を変え、特に多くの若者が互いに近接する学校という状況において、大学も他の組織と同様に変化を余儀なくされた。インターネットを利用した遠隔学習は、一部の大学や特定のコースではすでに浸透していた。しかし、パンデミックはこのようなシステムの利用と依存を加速させ、大学はデジタル・インフラにより重点を置くようになった。

多くのサイバー犯罪者にとって、これは新たなチャンスとなった。長年の経験を持ち、侵入に対してサイバーセキュリティを「強化」している企業や政府機関よりも、大学は、デジタルインフラが円滑に機能することにこれまで以上に依存している、より容易なターゲットと見なされたのである。

サイバーセキュリティを無視したランサムウェアの増加

現代におけるサイバー攻撃の最も一般的な形態の1つは、"ランサムウェア "として知られている。いたずらや破壊が目的ではなく、ランサムウェアは完全に利益を動機としている。このような攻撃では、ハッカーがサイバーセキュリティを迂回し、ネットワークを掌握することに成功する。そして、正当なユーザーを締め出し、自分のデータにアクセスしたり、ネットワークを操作したりできなくする。

ハッカーはその後、解除料を支払うことを条件に、ネットワークの制御を施設に戻すことを提案する。データがどれほど重要で、どれほど迅速にアクセスする必要があるかにもよるが、これはデジタル犯罪者にとって非常に有利になり得る。組織は、要求に応じる方が安くて早いと判断することもある。

デジタル・セキュリティの重要性

より多くの貴重なデータがネットワーク上にデジタル保存されるようになり、機密情報や重要情報へのアクセスを適切に保護することがこれまで以上に重要になっています。現代のサイバーセキュリティは、強力なパスワードだけでなく、多要素認証やフィッシング対策も重要なネットワーク・セキュリティです。

最新のデジタル保護と安心のために、Nok Nokの多要素認証技術やパスワード不要のID・認証対策について詳細をご覧ください。

ニコラス・チャイランはアメリカ空軍のソフトウェアチーフとして働いていたが、2018年8月に組織のデジタルセキュリティを近代化するために国防総省に赴任した。2021年9月、彼はその職を辞し、「15年から20年後の中国に対抗する戦いはない」と主張した。今現在、それはすでに終わっている。"と私は考えている。

チャイヤン氏の懸念は、2つの大きな問題から生じている。まず、最も重要なのは、米軍がデジタル・セキュリティに対する脅威を十分に深刻に受け止めておらず、軍事レベルのデジタル侵略に対する適切な保護に必要であったであろう資金を投入しようとしなかったことである。

「自分の仕事をするために、支援と資金を追い求め続けることに疲れました。「私の事務所には、今年も来年も、予算も資金もない。

チャイヤン氏が抱いていたもうひとつの懸念は、デジタル・セキュリティに迫る次の脅威は、パスワードを不正に入手する「フィッシング」のような従来型の攻撃ではなく、生体認証のような新しい技術をまだ使用していないシステムに侵入する人工知能に依存した、次世代の高度に洗練されたデジタル攻撃であることを、国防総省がなかなか認識しようとしないことだった。

自律的に思考するソフトウェアという意味での真の人工知能ではないが、AIはパターンを発見し、問題を解決することができる複雑化するアルゴリズムを指す。攻撃的な目的で使用される場合、AIは、信頼できる個人のデジタル「エイリアス」を構築するためにソーシャルメディアのプロフィールをスキャンし、コンパイルするなど、デジタル偵察に使用することができる。AIは、関連する個人のプロファイルにアクセスすることで、総当りの時間を短縮し、インテリジェントにパスワードを推測するために使用することができる。バイオメトリクスを使用しないシステムでは、潜在的に有用なキーワードのリストを収集し、それらを英数字の組み合わせでユーザーIDとパスワードの組み合わせに使用する。

チャイヤン氏は、中国はサイバー戦争においてAIを積極的に追求していると主張する。彼らは資金を投入し、進歩を遅らせる可能性のある専門的あるいは倫理的な障壁を排除している。逆に米国は、グーグルがドローンの照準システムの精度を高めるために自社の技術を使用することに異議を唱えたように、倫理的な理由からグーグルのような企業からの専門知識が引き揚げられるなど、この同じ分野で困難を経験している。

進化し続けるデジタル戦争

現実世界の防御と攻撃対策と同様に、デジタル攻撃と防御も常に新しい対策が開発され、それを撃退するための新しい対策が必要な状態にある。フィッシング攻撃がますます巧妙化、自動化される中、40年前のレガシーなパスワード・セキュリティ技術だけに頼っていては、もはや十分とは言えません。まだレガシーなパスワード・セキュリティ技術に頼っていて、ネットワークを最新のIDおよび認証セキュリティ技術（新しいグローバル・スタンダードであるキー・ペア生体認証を含む）にアップグレードしたいとお考えなら、安全でパスワード不要のサイバー認証ソリューションを提供するNok Nok製品にご注目ください。世界最大の金融ブランドは、Nok Nokの最新の認証プラットフォームを利用して、顧客の信頼を高め、保護しています。

米国中の保険会社が、ハッキングやデジタル・セキュリティ侵害に対する保険料を値上げする一方で、こうした問題が発生した場合の補償を手薄にするという憂慮すべき傾向にある。デジタル・セキュリティの保険契約を更新する時期になると、このような不測の事態に備えた予算が300％も増額される企業も出てきている。増加の主な理由は、攻撃の成功件数が増加し、保険会社が顧客に支払いを余儀なくされていることである。パンデミックを通じて、さまざまな組織が業務やデータをローカル・ネットワーク、さらにはデータ共有を容易にするクラウドベースのネットワークに移行したため、デジタル侵入が増加した。ランサムウェアや類似の攻撃は、多要素認証のようなより安全な保護形態へのアップグレードを怠ってきた建設、医療、政府、教育など多くのセクターを悩ませてきた。

多要素認証のようなさらなる対策が必要

保険会社自体も、デジタル・セキュリティに対応した企業への保険適用を検討する際に、ますます厳しくなっている。例えば、多くの保険会社は、MFA（多要素認証、ネットワークにアクセスするために単一のパスワードのみを使用する人以上のものに依存する検証システム）を使用していない企業からの申請を承認しません。単一のパスワード・システムは信じられないほど脆弱で、MFAプロトコルを使用したネットワークよりもはるかに侵入に成功しやすい。

保険会社は現在、独自のスキャン技術やデジタル偵察技術を使って潜在顧客のネットワークを「監査」し、その脆弱性を確認している。このことは、保険会社がサイバー攻撃に対する保険に真剣に加入する場合に、企業が支払わなければならない保険料の月額料金を決定する方法にも一役買っている。

サイバー攻撃は現実であり、増加の一途をたどっている

大企業や政府機関だけがハッキングやその他のデジタル侵入を心配しなければならなかった時代は終わった。あらゆる規模の企業、さらには一般市民でさえも、重要なデータをデジタル空間に移行する企業が増えるにつれ、犯罪者にとってはより有利になっている。

クレジットカードや社会保険番号などの個人情報を他人が使用する「個人情報窃盗」が増加している。また、ネットワーク・アクセスやその他の重要な機能が乗っ取られ、金銭が支払われるまでロックアウトされるランサムウェアも、より多くの企業を襲っている。ネットワーク・セキュリティは、重要な機密データをデジタルデータとして収集・保管している企業や個人にとって、現実的な懸念事項である。単一のパスワードと個人情報（知識ベースのアクセス）に基づくレガシー・セキュリティ・システムは、ますます高度化・自動化される現代のデジタル脅威から保護するには不十分であることが証明されています。レガシー・セキュリティ・システムを最新のFIDOベースの多要素認証にアップグレードすることにご興味がある場合、Nok Nokは様々なプラットフォーム・ソリューションを提供しており、顧客のアイデンティティと認証の保護において最大の金融機関から信頼を得ています。

世界は今、過去に例を見ないような紛争の時を迎えているが、これは21世紀の現代の衝突であるため、戦争は物理的な戦場だけでなく、デジタルな戦場でも繰り広げられている。ウクライナ侵攻が始まると、ロシアと西側諸国の公式ハッカーがデジタル戦争に参戦し、ロシアのサイバー戦争に立ち向かうことを決めた不正ハッカー集団「アノニマス」のような独立組織も参戦した。

残念なことに、軍事、企業、民間政府のデータスペースは、政府機関が資金を提供し、推進する国家レベルのサイバー攻撃の公平なゲームとみなされている。今、一部の企業が立ち上がりつつある。

グーグルが介入

データ管理とアナリティクスで世界有数のテクノロジー企業であるグーグルは現在、サイバー攻撃活動から保護するためのセキュリティ・キーを団体や個人に提供している。ジャーナリスト、内部告発者、政府関係者、その他機密データを持つ個人に対し、侵入やスパイ行為からシステムを暗号化し保護するための1万個のタイタンセキュリティキーを配布している。

タイタンのセキュリティ・キーは、暗号化とアクセス制御の追加レベルである。1つは鍵の形をしたUSBカードで、もう1つはワイヤレス接続のために同様の機能を持つBluetoothデバイスです。これにより、アカウントに多要素認証のレベルが追加される。例えば、Gmailアカウントのデータにアクセスするためにパスワードを入力することに加えて、タイタンのセキュリティ・キーにリンクされたアカウントは、確認のためにコンピュータに接続されたUSBキーの存在、またはBluetoothバージョンへの接続の確認が必要となる。

つまり、旧来の多要素認証のように、追加のセキュリティ層として携帯電話にワンタイムコードを送信する必要がある方式では、タイタンキー・システムは、パスワードがフィッシングやその他の手段で盗まれたとしても、データの2つ目の「ロック」を開けるためのタイタン・セキュリティ・キーがなければデータにアクセスできないことを意味する。

多要素認証は最善の防御である

グーグルをはじめとする多くのテクノロジー企業が推奨していないのは、データへのアクセスやシステムの制御に単一のパスワードしか使わないことだ。単一のパスワードは、そのパスワードが発見された時点で、個人情報の窃盗、機密データのスパイ、システムのコントロールの全面的な奪取など、あらゆることが可能になることを意味する。

ロシアのGRUのような政府機関が多くのシステムやデータを狙っている今、セキュリティはこれまで以上に重要になっています。 まだレガシーなパスワード・セキュリティ技術に頼っていて、ネットワークを最新のID・認証セキュリティ技術（新しいグローバル・スタンダードであるキー・ペア生体認証を含む）にアップグレードしたいとお考えなら、安全でパスワード不要のサイバー認証ソリューションであるNok Nok製品にご注目ください。世界最大の金融ブランドは、Nok Nokの最新の認証プラットフォームを利用して、顧客の信頼を高め、保護しています。 

サイバー攻撃は個人を標的にするばかりでなく、国家安全保障に対してもますます巧妙で執拗な脅威となっている。レガシー・セキュリティには毎年数十億ドルが費やされているが、データ漏洩や盗難は加速している。多くの機関や組織が被害を受けている。そのため、最新のセキュリティ・テクノロジーとゼロ・トラスト・アーキテクチャを分野横断的に活用することが重要なのです。

より積極的になる

米国のデジタル・インフラにおける弱点に対処するため、米国連邦政府はサイバーセキュリティ戦略を更新した。 2022年1月、バイデン大統領は国家のサイバーセキュリティ向上に関する大統領令（EO）14028に署名した。サイバーセキュリティに対するこの近代的なアプローチにより、米国連邦政府は、従来の境界ベースの防御に対する漸進的な改善から、"システムやデータへのアクセスを確立しようとするあらゆるものを決して信用せず、常に検証する "近代的な「ゼロ・トラスト」アーキテクチャへの大規模な投資へと大胆に移行する。

より安全なサイバーインフラを目指して

多要素認証（MFA）を、パスワードやその他の個人的な秘密の保存と受け渡しに基づく従来の知識ベース・アクセス（KBA）に追加したところ、確かに、一要素認証と比較して、デジタル・システムやデータに対するリスクが測定可能なほど減少した。

しかし、悪質な行為者の攻撃戦略（攻撃ベクトル）は進化し、今日では、これらのレガシーKBA方式は、MFAを使用しても、アカウント所有者を簡単に騙して攻撃者にアカウント認証情報を提供させる巧妙なフィッシング攻撃からもはや保護できない。いったん正規のアカウントが乗っ取られると（コロニアル・パイプラインに対するランサムウェア攻撃のケースのように）、重大な被害が発生したり、データが盗まれたり、悪意のあるコードが埋め込まれて後日セキュリティの脆弱性が生じたりする前に（ソーラーウィンズのサプライチェーン攻撃のケースのように）、悪意のある行為者を検知することは、どのようなシステムにとっても非常に困難です。

非常に大胆な動きであり、現代の ID および認証業界にとって前向きな進展であ るが、わが国の新しいサイバー・セキュリティ行政命令は、連邦政府機関に対し、2024 会計年度末までに、強力な FIDO ベースの MFA でゼロ・トラスト・セキュリティ目標を達成することを推奨している。

ネットワーク、デバイス、エンドポイント、およびデータと DNS トラフィックの暗号化に関する他の要件に加え て、この指令には、高度な攻撃からユーザを保護するためのフィッシング耐性のある MFA（FIDOアライアンスによって作成され、ワールド・ワイド・ウェブ・コンソーシアム（W3C）によって公開された PIV クレデンシャルと FIDO2 Web 認証（「WebAuthn」として知られる）の両方を含む）を備えた集中管理型の企業管理 ID が含まれている。この指令には、アクセスを許可する前に常にユーザを検証するゼロ・トラスト・アーキテ クチャに基づく企業全体の ID システムも含まれる。

すべての人に強力なディフェンスを

より安全なサイバースペース・インフラストラクチャの推進において、米国連邦政府は、レガシーなKBAや境界ベースのセキュリティの考え方を捨て、近代的で強力なMFAアイデンティティと認証を支持する何千もの企業に加わる。

世界中でデバイスやネットワーク接続が大量に普及し続ける中、サイバー脅威やリスクとの戦いにおいて増大する課題に対処するための技術的進歩が求められています。Nok Nok Inc.は、同社が設立したグローバルFIDOアライアンスと協力し、この戦いの最前線にいます。

FIDOアライアンスは、認証標準を開発・推進するオープンな業界団体である。同時に、エンドユーザにとってより安全で便利なサイバーセキュリティ対策を推し進める。そのため、レガシーパスワードやKBAベースのシステムアクセスへの人々の不安や過度の依存を減らすことを使命としています。強力なユーザー認証とIoT認証のための業界をリードするNok NokのFIDOプラットフォームについては、こちらをご覧ください。

レガシーな境界ベースのセキュリティには毎年数十億ドルが費やされているが、データ漏洩や盗難は加速し続けている。こうしたセキュリティ・リスクは、金融機関、特に金融を扱う機関が対処すべき脅威のひとつである。ソリューションは組織そのものを守るだけでなく、消費者の信頼と安全を確保することにもつながる。これは、副社長やC-suite、その他の企業幹部の間で2022年の優先事項のトップ5に挙げられている。

パスワードフリー化

長年にわたり、システム・アクセスを許可する前にユーザーの身元を確認するために、パスワードとナレッジ・ベース・アクセス（KBA）の使用に頼ってきた。MFAは、多くの種類の攻撃からユーザーを保護するのに役立ってきたが、犯罪者の攻撃戦略は、アカウントを乗っ取り、データ侵害や個人情報窃盗を行う新たな方法を見つけるために進化した。

最新のフィッシングに強い認証（「パスワードレス認証」とも呼ばれる）は、現在、セキュリ ティを向上させるための主要な優先事項である。一般に、パスワード、個人秘密、その他の機密ユーザ・データを取得、保存、 送信する必要なく、ユーザ ID を検証する消費者中心のアプローチが含まれる。この最新の認証アプローチには、ワンタイムパスワード（OTP）やデバイスレベルの生体認証と組み合わせた暗号鍵ペアが含まれ、アカウントのセットアップやサインインに関連するユーザーの摩擦を劇的に減少させる方法で、デジタルサービスへのアクセスを要求するデバイス上のユーザーを検証する。

パスワード・フリーの利点は、組織とユーザーの両方が体験できる。防御グレードのセキュリティーでユーザーへの負担が劇的に軽減されるため、ユーザー・エクスペリエンスと企業パフォーマンスの両方が大幅に向上します。最新のフィッシングに強いアイデンティティと認証を導入している企業では、認証成功率が99.5%、アカウントのサインアップと認証のスピードが50%以上向上し、CSRコールとパスワードのリセットが60%以上減少したと報告されています。ユーザーと企業の双方から、高価値のオペレーティング環境や決済取引における消費者の満足度が劇的に向上したとの報告がある。

Nok Nokとパスワードレス認証

Nok Nokは金融テクノロジー業界の複数のメンバーとともに、先日開催されたAuthenticate 2021に参加しました。NokNokは参加者だけでなく、プレゼンターも務めました。

プレゼンテーションの中で、参加者はパスワード不要認証の実際の応用例をいくつか見てきました。これらはすべてNok Nokのお客様の経験に基づくものです。

• Intuit TurboTax®： Intuit TurboTax®: IntuitとNok Nokのパートナーシップは、新規アカウント作成時の高い摩擦という問題に対処しました。パスワード不要のサインアップにモバイルアプリを活用することで、サインアップのコンバージョンが10%増加しました。また、サインアップにかかる時間も50％短縮された。

• Tモバイルパスワードやアカウントピンの忘れは、多くのユーザーが経験する問題のひとつです。FIDOベースの生体認証と帯域外プッシュ認証を取り入れることで、3ヶ月以内のアカウント回復リクエストが少なくとも65％減少した。

• フィンテック ユーザーエクスペリエンスに摩擦を引き起こす一般的な問題の中には、パスワードやSMS OTPの使用など、複雑なログイン要件があります。ウェブサインイン時のFIDOパスワードレス認証を通じてプラットフォーム認証機能を強化したところ、サインイン速度が8倍に向上しました。さらに、最初の1ヶ月でユーザーが40%増加しました。

• 大手銀行金融機関もサイバー攻撃、特に詐欺行為の標的にされることが増えています。最新のFIDOバイオメトリクスとアプリケーション・ピンを使ってモバイル・アプリから安全にアクセスできるようにしたことで、詐欺事件が減少した。アプリのユーザーレビューの評価も向上している。ワンタイムパスワードのリセットが劇的に減少したため、SMS OTPの減少によるOPEXコストも削減された。

• 東京電力パワーグリッド：電力網にとってセキュリティの確保は必須である。しかし、「安全」とされる複雑なパスワードの使用を推奨すると、保守作業員の業務が滞ってしまいます。この問題に対処するため、Nok NokとTEPCOは最新のウェブブラウザとデバイスの生体認証を活用しました。このアプローチは、安全なサインイン体験を提供するだけでなく、アカウント登録、アカウント作成、サインインのスピードとシンプルさも向上させました。