社会活動部会副部会長 / Japan Digital Design 株式会社
唐沢 勇輔

社会活動部会では、大きなセキュリティインシデントが発生した際などに、その背景事情や関連技術について報道関係者向けに解説を行う「記者懇談会」を不定期で開催しています。

7月18日(木)に「今知りたい！ システムを守る認証の実態」と題して、この記者懇談会を開催しました。
（https://www.jnsa.org/seminar/2019/0718/）

［講師］
ココン株式会社　林 達也 氏
株式会社DeNA　茂岩 祐樹 氏
株式会社セキュアスカイ・テクノロジー　はせがわ ようすけ 氏

きっかけは先日サービス終了を発表したキャッシュレス決済の不正利用事件です。
この事件を通じて「二段階認証」がtwitterのトレンド入りするなど「認証」というものが大きく注目されました。セキュリティを考えるうえで非常に重要な要素である「認証」について認証の専門家、サービス事業者、診断事業者というそれぞれの立場から語っていただき、報道関係者に理解を深めていただこうという趣旨です。

懇談会ではまず、認証に関する専門家の一人であるココン株式会社の林氏から認証についての解説を行っていただきました。

「認証」と「認可」「認証の3要素（知識、所有、本人の特徴）」といった基本的な概念の説明に始まり、「Two-Step（2段階）認証」「Two-Factor（2要素）認証」やNIST SP800-63-3などに記載されている新規には使うべきではない手法（パスワード定期変更の強制など）についての紹介もおこなっていただ きました。
課題はIDに関する専門家が圧倒的に少ないことで、これは日本だけでなく世界でも同じような状況で、こうした要因もあり認証に関して脆弱なシステムが多くあるわけです。
しかし、この状況に甘えずにやるべきことをやっていないと、今回のような事件につながってしまうと指摘されていました。

次に、株式会社DeNAの茂岩氏からインターネットサービスがどんな攻撃を受け、どういった対策を行ってきたのか、事業者の立場から解説いただきました。

攻撃の種類として「リスト型」「ブルートフォース」「フィッシング詐欺」「セッションハイジャック」「その他」の5種類についての紹介がありました。
また、乗っ取りにより「不正送金」「不正購入」「ギフトカード等の窃取」「攻撃リストの精度向上」という被害が発生するということでした。
特に近年問題になっているリスト型攻撃については、第一の対策として「パスワードの使いまわしをしない」ということを強調されていました。これを利用者にアピールするためにJPCERT/CCさんと協力して「STOP! パスワード使い回 し!キャンペーン」を始めたそうです。
（昨年度のキャンペーンサイト：https://www.jpcert.or.jp/pr/2018/stop-password2018.html）

技術的な対策として大きな期待を寄せられている多要素認証(MFA)ですが、利便性やコストの問題から金融機関を除いてオプションのところが多いという課題があります。
ただし効果は高く、一時期に被害が多発した不正送金が減少したのも、認証が強化されたからではないかとの見方をされていました。
そして、認証を突破されないために取り組みたいこととして以下を紹介されていました。

○利用者 ・パスワードを使いまわししない
　・IDとして使っているメインのメールアドレスは厳重に管理 （MFAを使えれば有効に）
　・デバイス管理の徹底（ロックをする / ワイプ機能を有効にする）

○事業者
　・認証フローの設計チェック
　・最低認証強度の底上げ
　・サービス特性に合わせた認証システムの導入 （MFA、デバイスとの紐づけ）
　・不正を想定した多層防御の検討（攻撃パターンの検知など）
　・利用者への啓発

最後に登壇いただいたのが、株式会社セキュアスカイ・テクノロジーのはせがわ氏に、脆弱性診断事業者としての立場から講演いただきました。

実際に同社が運用されているWAFの検知結果から認証に対する攻撃がどの程度発生しているのかということを紹介いただきました。
特定IPアドレスからの連続したログイン試行だけをみても、数千サイトを監視 されている中で月間で万単位の攻撃が確認されているそうで、認証が狙われているということを改めて実感させていただきました。攻撃の手法は、最近の事例に多いパスワードリスト攻撃のみかというとそうでもなく、総当たりによるログイン試行もあるそうです。数日間で100万件以上の総当たり攻撃も観測された実績があったそうです。

また診断によって発見された認証に関する脆弱性についても紹介いただきました。
10％くらいのシステムでは認証認可の基本的な脆弱性が見つかってしまうそうです。
そして診断を実施したからといって必ずしも安全というわけではなく、「新機能でも全機能が診断対象にならないことがある」「既存機能で診断対象から外れる」「修正が不十分」といった事情で残念ながら脆弱性が残ったままサービスインされる可能性があることを指摘されています。

今回の事件がどういった原因だったかわかっていないことも多いですが、個人的にはこの「既存機能で診断対象から外れる」というのは、よくある話だけに注意が必要だと感じました。
診断はしないまでも、機能を追加したことによる脅威・リスク分析の再実施や、追加した機能も含めてシステム全体としてのセキュリティ設計見直しは必要であろうと思います。
追加した機能が「決済」という非常に重要な機能だったのであればなおさらです。

この事件は普段IT関係の取材をされることが多いネットメディアや社会部の記者さんだけでなく、当事者となった企業を担当する経済部の方が取材されることも多く、今回の記者懇談会でも普段いらっしゃらない記者さんにご参加いただけました。
今後こうした企画をしてほしいといったアイデア・ご要望がありましたら、JNSA社会活動部会までお寄せいただければ幸いです。

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン168号の感想をお寄せください。
https://bit.ly/2OMtjsA
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★事業コンプライアンス部会による
「サイバーセキュリティ業務における倫理行動宣言」を公開しました。
https://www.jnsa.org/cybersecurity_ethics/

★「CTF for GIRLS 第12 回ワークショップ（学生優先）」参加登録受付中！
登録は8月25日まで↓
https://www.seccon.jp/2019/ctf4girls_1/ctf_for_girls_12.html

★「SECCONビギナーズ苫小牧」、「SECCONビギナーズ金沢」、
「SECCON Workshop広島」の参加登録受付中です。
詳細・登録は「SECCON2019」から↓
https://www.seccon.jp/2019/

【事務局からのお知らせ】
★「JNSA全国横断セキュリティセミナー2019」参加受付を開始しました。
　参加者にはCAISとCISSPポイント、ITC実践力ポイントも付与されます。
　全国5か所（名古屋9/13、東京9/25、10/4大阪、10/23札幌、11/7那覇）
　で開催します。
　初回[名古屋会場]
　日程：2019年9月13日（金）13時30分〜17時00分
　会場：ウインクあいち（名古屋市中村区名駅4-4-38）
　申込、他会場の情報はこちらをご覧下さい！
http://www.jnsa.org/seminar/2019/cross2019/

★ゲーム教育WGでは、【セキュ狼】解説動画を４本公開、情報科学専門学校
の学生と共同開発したAndroid用無料アプリもリリースしました。
「セキュ狼」紹介ページよりご覧ください。
https://www.jnsa.org/edu/secgame/secwerewolf/secwerewolf.html#sw_youtube

★独立行政法人情報処理推進機構様では「「中小企業の情報セキュリティ
マネジメント指導事業」参加企を募集しています。
詳細は以下をご覧ください
https://www.ipa.go.jp/security/keihatsu/sme/management.html

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。受講の際にはぜひ事務局までご連絡下さい。
　SANSトレーニング11月のお申込み受付を開始しました！

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

 

*************************************
JNSAメールマガジン　第168号
発信日：2019年8月9日
発　行：JNSA事務局　
*************************************