アドソル日進株式会社
IoT事業部　野田 俊夫

最近はクラウドを始めとしてインターネット上のサービスが数多く展開しています。これらのサービスは便利でどこからでもアクセスできる一方で、アカウントは不特定多数の攻撃に常時晒されています。特にSNSアカウントは個人情報の宝庫ですし、アカウントの売買目的で狙われることもあります。度重なるパスワード情報の漏洩も加わり、もはやアカウントのセキュリティをパスワードだけに頼るのは無理があります。

そのため近年は各サービスともパスワードだけに頼らず、MFA（Multi-Factor Authentication）いわゆる多要素認証を取り入れています。特に狙われやすい「SNSアカウント」をはじめ「金融系のアカウント」、またはクラウドサービス等の「管理者ユーザアカウント」はMFA対応によるセキュリティレベルの向上が求められます。

ご存知の方も多いとは思いますが、MFAとは下記の認証の3要素のうち2つ以上の要素を使用して認証するプロセスです。
　・「knowledge factor」　（パスワード、PIN等）
　・「possession factor」 （IDカード、等）
　・「inherence factor」　（指紋、筆跡、等）
MFAは性質の異なる2つ以上の要素を組み合わせることでセキュリティを大きく向上させます。すこし紛らわしいケースとして同じ要素を2つ組み合わせる認証、例えば「パスワード」と「秘密の質問」を組み合わせるケースはいずれも「knowledge factor」となるため当てはまりません。

最近ではMFA対応を行っていなかった「Gentoo」のGitHubアカウント（※1）や「Timehop」の管理者アカウント（※2）が乗っ取られハッキング被害にあいました。またガートナーが発表した「CISOがリスク軽減のために注目すべき2018年のセキュリティ・プロジェクトのトップ10」（※3）では「特権アカウント管理対策」でMFAを推奨しています。今後「管理者権限のMFA対応」は欠かせな
い対策となりそうです。

MFAでよく使用されるケースがパスワード等の「knowledge factor」とセキュリティトークンなどの「possession factor」の組み合わせです。パスワードの認証と、セキュリティトークンによるワンタイムパスワードの仕組みはGoogle、Facebook、AWS、Azureといった大手サービスの認証ですでに対応しています。トークンは6桁の数字として手元の機器で生成されるか、SMS、メールで通知されるのが一般的です。

ただし機器によるトークン発行はサービス側の都合で使用できる機器が限定されることが多く、ユーザによっては複数の機器を保持することになりがちでした。また機器を使用しないワンタイムパスワードの通知サービスも、SIMカードのハイジャック（※4）からのSMSハッキングでMFAを突破する攻撃が目立ちはじめています。そのため、サービスによってはSMSの通知を見直す動きもあるようです。（※5）

それに代わる手段として「Google Authentication」に代表される仮想MFAアプリが普及しています。スマホにアプリをインストーするだけで済むため多くのトークン機器を持ち歩く必要がなくなり、SIMのハイジャックにも耐性があり仮想MFAアプリが利用可能なサービスは増え続けています。

最後に生体認証等の「inherence factor」についてですが、指紋や虹彩のような生体情報にはパスワードやトークンのように変更や再発行が簡単にはできないという特徴があります。また他の2つの要素に比べ生体情報を読取る端末は高価なためネット上のサービスの認証で使用されることは多くありませんでした。

ただし近年は「スマホの指紋認証」が普及し、「ApplePay」などこれを利用した決済サービスも増えています。店頭に据え置き型の指紋認証デバイスと異なり「スマホの指紋認証」を利用したサービスは「カード情報の登録されたスマホ」（possession factor）と指紋（inherence factor）の2つの要素によるMFAが実現できています。パスワードやPINの入力が不要な点も大きな特徴です。

LINEやBaiduがすでに始めているようにSNS上の決済サービスが普及しています。
これはSNSアカウントが攻撃のターゲットとなるリスクをさらに高めるため、MFAの導入もますます加速していくことでしょう。常に携帯するデバイスであり、SNSと相性のいいスマホ、それを利用したMFAが認証の主流となるのは自然な流れとなりそうです。

（※1）「Timehop」、2100万人のユーザー情報が流出
http://www.itmedia.co.jp/enterprise/articles/1807/10/news066.html
https://www.timehop.com/security

（※2）GentooのGitHubアカウント乗っ取り
https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

（※3）「CISOがリスク軽減のために注目すべき2018年のセキュリティ・プロジェク
トのトップ10」
https://www.gartner.co.jp/press/pdf/pr20180710-01.pdf

（※4）電話番号が奪われてしまうSIMハイジャックの脅威とは？
https://gigazine.net/news/20180720-sim-hijack/

（※5）InstagramがSMSを使わない二要素認証を導入、SIMを悪用するハッカーを撃退
https://jp.techcrunch.com/2018/07/18/2018-07-17-instagram-2-factor/

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★サイバーセキュリティ小説コンテスト募集中！締切は8月末です！！
　応募作品はカクヨムの特設ページで読むことができます。
　https://kakuyomu.jp/contests/cyber_security
　（カクヨム特設ページへ）

★内部不正WGによるインタビュー連載を公開しました。
「日本の人事と内部不正（第11回）EDGE株式会社編」
https://www.jnsa.org/result/2016/surv_soshiki/

★「SECCON Beginners 2018 広島」の参加申し込み受付中です。
開催日程：9月1日（土）10:45−19:00（10:15受付開始）
開催場所：広島市立大学サテライトキャンパス
応募締切：8月19日（日）　※応募者多数の場合は抽選となります

　登録・詳細はこちらから＞＞　https://2018.seccon.jp
「第2回 CTF for School GIRLS」も参加登録受付中です

【事務局からの連絡、お知らせ】
★「JNSA全国横断セキュリティセミナー2018」参加受付中です。
　参加者にはCAISとCISSPポイント、ITC実践力ポイントも付与されます。
　今年は全国5か所（大阪8/29、金沢9/5、札幌9/18、東京9/26、那覇10/4）
　で開催します。　※大阪会場、東京会場は満席となりました。
　申込情報はこちらをご覧下さい！
　https://www.jnsa.org/seminar/2018/cross2018/

★夏休みにおける情報セキュリティに関する注意喚起（IPAより）
詳細はこちらをご覧ください
https://www.ipa.go.jp/security/topics/alert300802.html

★JNSA事務局は8月13日（月）と14日（火）を夏期休業とさせていただきます。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第143号
発信日：2018年8月10日
発　行：JNSA事務局　
*************************************