日経クロステック Special

ユーザーIDとパスワード認証ではサイバー攻撃を避けられない。SolarWinds事件から学ぶ

「攻撃者にとってベストな侵⼊⼿段はユーザーにIDとパスワードを使ってもらうこと」──ファイア・アイ社が事件の検知に⾄った経緯

──実際にファイア・アイ社はどのようにしてこの事件の検知に⾄ったのでしょうか。

メンデス氏:このサイバー攻撃をファイア・アイ社が多要素認証を使わず検知できていなかったらこの事件は現在でも続いていたでしょう。

 攻撃者は同社に侵⼊し、Sunburstマルウェアを使い、同社員のIDとパスワードを窃取しました。先⽇2021年1⽉7⽇に開催されたイベントのオンラインパネルにてファイア・アイ社CEOのケビン・マンディア⽒が事件の検知について「攻撃者は、⼀般的に社員が利⽤するのと同じ⽅法で会社のVPNにログインしていました」と説明しました。通常、同社員はVPNへのアクセスに多要素認証を利⽤していました。

 攻撃者は、社外からはクレデンシャル情報だけではファイア・アイ社が利⽤するVPNにログインできないため、多要素認証をする端末を登録したことで、同社のセキュリティチームに⾃動警告がなされたのです。

 マンディア⽒は「誰かが認証に2つ⽬のファクターとして端末を登録し、我々のネットワークにアクセスをしていました。利⽤されたそのクレデンシャル情報をもつ社員へ連絡し確認を⾏ったところ、アクセスはその者ではなかったことが分かりました」と述べ、続けて「誰かが我々の多要素認証を避けるために新しい端末を登録していました。この瞬間、⾮常に⾼度で洗練された攻撃が⾏える攻撃者であると分かりました」と伝えています。

 そして、最後に「攻撃者にとって、侵⼊にあたってユーザーIDとパスワードが本当はベストなのではないでしょうか」と締めくくっています。

──では、なぜ「ユーザーIDとパスワードを使ってもらうことが攻撃者にとってベストな侵⼊⼿段」になるのでしょうか。

メンデス氏:前述のファイア・アイ社のように多要素認証を利⽤している企業もありますが、いまだ⼀般的にはパスワードを中⼼に認証を⾏っているからです。

 2020年3⽉から新型コロナウイルスの影響で在宅勤務が推奨されリモートワークが普及し、これまで社内からのログインで利⽤していたIPアドレスの確認などアクセス制限がなくなったことでパスワード中⼼の認証のみとなり、さらに危うくなっているのです。特に中間者攻撃(Man in the Middle)から情報資産を守るために、ログインはVPN経由としているものの、そこへのログインはパスワードのみを認証に使うことが多くなっています。そのため、「攻撃者にとってベストな侵⼊⼿段はユーザーIDとパスワードを使ってもらうこと」となったのです。

サイバー攻撃を避ける⽅法──パスワードレス認証、そして「認証維新」

メンデス氏:パスワードに依存しない⽣体認証などを⽤いた安全なオンライン認証の標準化を⽬的として、FIDOアライアンスは2012年に発⾜して以来、グーグル社やマイクロソフト社などIT⼤⼿企業が加盟しています。

 ISRは、「安全かつ便利な認証を(Secure yet easy to use authentication)」のビジョンを基に、2014年にこのFIDOアライアンスに参加しました。企業向けクラウド型認証サービスCloudGate UNOを通じ、2015年にはスマートフォンの⽣体認証機能を使った専⽤アプリケーションCloudGate Authenticatorを提供しました。また、2019年からは、セキュリティキーやWindows、Macbookを⽤いて顔認証や指紋認証を利⽤したパスワードレス認証を提供2020年12⽉にはFIDO2に対応したTouch IDやFace IDといったスマートフォンやiPadを使った認証もいち早く企業へ提供しております。

シングルサインオンサービスCloudGate UNOとは?

 今後、2021年後半には新型コロナウイルスはワクチンによって収まる可能性が⾼いと考えています。そしてISRでは、パスワードを使わない、早くて、正確なサイバー攻撃に強い耐性のある⽣体認証への変⾰を認証維新と呼び、このSolarWinds事件をきっかけに2021年からパスワードに依存しない認証維新が広がると考え、⼀つでも多くのサイバー攻撃の被害拡⼤を阻⽌するためにも、⽇本で認証の維新に努めていきます。