多要素認証(MFA)の概要
ユーザーアカウントの安全性を高めるハッカー対策として、多要素認証 (MFA) が導入されています。フィッシングやソーシャルエンジニアリングでユーザーパスワードを手に入れた場合でも、 2つ目の要素である認証要件を満たせなければ攻撃者はアカウント認証ができません。多要素認証では、生体認証、セキュリティトークン (PIN) や位置情報を含む、いくつかの方法を採用しています。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
多要素認証(MFA)とは?その活用事例
多要素認証は、多数のパスワードの組み合わせを試すブルートフォース攻撃の高速化に伴って導入された、コンピュータ技術です。現在のコンピュータ性能では、暗号化されたユーザーの1つのパスワードに対し、1秒間に数百万回、ブルートフォース攻撃を試みることが可能です。量子コンピューティングが導入されると、最強の暗号ライブラリの標準的なパスワードでさえも無意味になりました。
現在のパスワードに関するワークフローの問題点は、複数のシステムで同じパスワードを使い回していることです。たくさんのシステムで使う、それぞれ10文字のパスワードを覚えておくことは不可能です。そのため、ユーザーは複数のプラットフォームで同じパスワードを使っています。パスワード自動入力は、ユーザーが記憶せず、複数のパスワードを保管する手段を提供していますが、 漏えいの危険性があるところは使い回しのパスワードと変わりありません。
パスワードのブルートフォース攻撃やフィッシングをなくすために、多要素認証が導入されました。多要素認証の仕組みは、2段階目の認証方法によって異なりますが、基本的な機能は同じです。ユーザーには1つのアカウントのユーザー名とパスワードの2種が割り当てられます。この2種の認証構成がほとんどのシステムで一般的に用いられています。多要素認証が認証プロセスに統合されると、ワークフローにおいて、ユーザーに2段階目の認証要件が提示されます。
最も一般的な多要素認証のワークフローは、アクセストークンです。通常、利用者のスマートフォンにテキストメッセージでワンタイムパスワード送ります。認証プロセスに多要素認証を導入するには、PINコードを利用者のスマートフォンに送信する方法があります。ほとんどの利用者は、スマートフォンを所有しているため、別の利用者が多要素認証のシステムを使えないようにする方法の一つが、スマートフォンの活用です。
多要素認証には、少なくとも次の2つの要素が必要になります。
- 利用者の所持品: 物理キー、USBデバイス、銀行カードなどの利用者が身分を証明できるもの
- 利用者が知り得る情報: 一般に、記憶しているパスワードなどのユーザーにしか入力できない情報
- 利用者自身: 利用者を特定できる指紋や音声、瞳などの生体情報
- 利用者の現在地: GPSやデバイスから出る信号などの利用者を特定できる情報
上記のうち、2種類の認証情報を用いることにより、攻撃者がどちらの情報も手に入れる可能性は、確率的に低くなります。 しかし、注意すべきは、テキストメッセージを利用者に送信するプロトコル、共通線信号No.7 (SS7) がハッキングされるとスマートフォンに送られたPINが途中で盗まれることです。 SS7プロトコルの最近の脆弱性によって、企業は多要素認証を使用する別の方法へと移行しています。標的を絞ったソーシャルエンジニアリング攻撃では、PINコードを他人に教えてしまうようにだましているため、多要素認証には関係なく、攻撃者はユーザーアカウントにアクセスできます。
SS7プロトコルに脆弱性があるために、多要素認証を利用する多くの企業が、データチャンネルを使用したワンタイムパスワードの送信へと移行しています。メールは1つの選択肢です。しかし、メールアカウントは乗っ取られる可能性があり、利用者に危険が及ぶことは明らかです。デバイスに認証アプリをインストールする選択肢もあります。認証アプリがPINを表示し、多要素認証の2段階目にあたる認証システムに入力する仕組みです。
生体認証は他人には傍受できない認証手段であるため、PINよりもさらに安全性の高い選択肢です。しかし、この方法にもデメリットはあります。生体認証システムは高額かつ未発達の技術であるため、利用者や企業にとっては各自のシステムに統合することが難しいのです。今よりも安価になり、スマートフォンで普及も進んでいますが、ディスクトップアプリに組み込むのは簡単ではありません。
なぜ多要素認証(MFA)が必要なのか?
多要素認証は、フィッシングやソーシャルエンジニアリングが主要なサイバー攻撃手法になったときに導入され始めました。悪意あるリンクが貼られ、認証情報を要求するフィッシングメールやキーロガーは、企業や個人にとって深刻な問題です。フィッシング攻撃による認証情報の盗用から起こる情報漏えいは、企業に数百万ドルの損失を与えます。認証プロセスに多要素認証を加えていなければ、攻撃者は認証してユーザーアカウントに入り込み、さらに認証情報を盗みます。
攻撃者はさまざまな目的でソーシャルエンジニアリングを使用しますが、中でもアカウントの認証情報を教えるように仕向けることがあります。何の疑いもない一本の電話により、攻撃者が高権限のアカウントにアクセスできるようになり、大規模な情報漏えいへつながることもあります。さらに高度な攻撃では、攻撃者がフィッシングとソーシャルエンジニアリングを組み合わせた手口で認証情報を奪います。
多要素認証を統合した認証システムでは、フィッシングやソーシャルエンジニアリングはほとんどの場合無効化できます。攻撃者が認証情報を盗めたとしても、もう一つの認証手段にアクセスすることはできません。ソーシャルエンジニアリングでアカウントの認証情報を聞き出せても、攻撃者はまた別要素の認証情報を手に入れることはできないのです。
二段階認証の利用はかなり効果的ですが、攻撃者がソーシャルエンジニアリングを使用して多要素認証を突破することもあります。標的から認証情報を盗んだ後、攻撃者が直接電話をかけ、多要素認証のPINを聞き出します。ソーシャルエンジニアリングは生体認証では悪用できませんが、多くの企業では2段階目の認証にPINコードを使っています。生体認証が誰でも利用できるようになるまで、ソーシャルエンジニアリングはPINを用いる多要素認証システムにとって脅威です。
多要素認証(MFA)を使うべき場所とは?
機密データを扱い保管するWebサイトや内部システムは、すべて多要素認証を使用するべきです。認証ワークフローに多要素認証を採用しなければ、攻撃者がアクセスできるため、パスワードのブルートフォース攻撃や認証情報の窃盗に対して脆弱です。また、多要素認証は開発者に負担がかかるため、機密情報を扱わないシステムでは、その採用を見送ることもあります。
多要素認証が必要ではないと開発者が判断する前に、規定違反に当たらないか、コンプライアンス規定を見直す必要があります。規制基準の中には、機密情報を保管する重要システムに多要素認証を必要とするものがあります。財務情報や個人情報 (PII: Personal Identifiable Information)、医療データを保存するシステムでは、ネットワークへの接続認証のために、多要素認証が必須です。多要素認証は内部的には必要ないかもしれませんが、リモートで認証を行う管理者は、規定に準拠するように多要素認証を使用する必要があるでしょう。
サードパーティとの統合を採用すると、認証ワークフローに多要素認証を組み込むことが容易になります。システムが一般に公開されており、攻撃者が盗んだ認証情報で認証アクセスできる場合は、ワークフローに多要素認証を組み込むべきです。他の不正検出システムにもブルートフォース攻撃や認証情報の窃盗が検出できますが、まずは攻撃者を近づけないために、多要素認証の利用を始めることが重要です。