日経クロステック Special

⽶国でのサイバー攻撃、その教訓から学ぶべきFIDO2認証の重要性とは

認証のあり⽅についてメンデス・ラウル氏が紹介
株式会社インターナショナルシステムリサーチ
代表取締役社⻑
メンデス・ラウル
2020年に起きたSolarWinds事件では、Orionの更新ソフトウェアをダウンロードした約1万7000社に影響が及んだとされているが、実際に攻撃を受け侵⼊されていたのは⽶国の主な9つの連邦政府機関や⼤⼿IT企業を含む約100社の企業だということが新たに分かった。海外からのサイバー攻撃として、今なお⽶国議会が関係各社を巻き込み原因や対応策などの究明を続けている。
⼀⽅で、2020年の⼤統領選挙においては、2016年の海外からのサイバー攻撃の教訓をもとに対策を⾏ったDNC(⺠主党全国委員会)は被害を受けることなく、バイデン⽒が当選している。この⽶国で起きた2つの出来事をふまえて、サイバー攻撃の⼿⼝からその対応策としてなぜFIDO2認証が重要であるのか──株式会社インターナショナルシステムリサーチ(ISR)代表取締役社⻑のメンデス・ラウル⽒が紐解いていく。

SolarWinds事件が浮き彫りにした多要素認証の問題

事件の概要

SolarWinds社のCEOによると、攻撃者は少なくとも2019年12⽉までに同社のOffice 365のアカウントの1つにアクセス、その後他アカウントに展開したとのことです。そして最終的には開発環境への侵⼊に成功し、2020年3⽉から配布されたソフトウェア「Orion」のアップデート版にSunburstというマルウェアを書き込んでいました。

攻撃者はどういった⼿⼝を使ってOffice 365まで侵⼊したのでしょうか

Microsoft社プレジデントのブラッド・スミス⽒は⽶国議会において、攻撃者の⼿⼝について「攻撃者はまるで泥棒が家の中の⾦品だけでなく⾞も盗むために⾞の鍵を探すかのように、他の環境へのアクセスを進めてOffice 365などのクラウドのリソースにまでも⼿を伸ばしていた」と述べています。

つまり、攻撃者はこのマルウェアが書き込まれた更新ソフトウェアをダウンロードした企業のWindowsサーバー(ADFS:オンプレミスの認証サーバー)を侵害してオンプレミスでクレデンシャル情報を盗み、Office 365まで様々な⼿段を使って侵⼊していました。その一つとして、取得した情報から認証サーバーの管理者権限を使ってSAMLトークンの秘密鍵を窃取、SAMLトークンを偽造したことで多要素認証を回避し、Office 365サーバーに直接アクセスするという⼿段が使われていました。

どのようにこの事件は発⾒されたのでしょうか

2020年3⽉から9ヶ⽉間にわたり続いていた侵⼊は、2020年12⽉にファイア・アイ社が攻撃を検知したことで発⾒されました。

ファイア・アイ社CEOのケビン・マンディア⽒は事件の検知について以下のように述べています。

「ファイア・アイ社では従業員がVPNにアクセスする際、IDとパスワードを⼊⼒すると登録されているスマートフォンに固有のコードを⽣成し、そのコードを⼊⼒するという多要素認証を利⽤していましたので、当社のセキュリティチームのエンジニアは攻撃者が追加のスマートフォンを登録しようとした時に疑いを持ったわけです。そして、そのエンジニアが該当の従業員に確認したところ『新しいデバイスの登録はしていない』と分かり、この⼀連の事件が発覚しました」

つまり、攻撃者はSunburstマルウェア経由でファイア・アイ社内のサーバーに侵⼊して盗んだ従業員のIDやパスワードなどの特定情報を⽤いることで、⾃分のスマートフォンを認証の第2要素として追加登録することが可能となっていたのです。

⽶国⼤統領選挙でのサイバー攻撃対策はFIDO2認証

2016年3⽉、1通のフィッシングメールによりキャンペーンマネージャーであったジョン・ポデスタ⽒のGmailアカウントのパスワードが盗まれました。これにより、クリントン候補とウォール街企業の巨額な講演料についてのメールのやり取りが漏れ、クリントン⽒はイメージダウンから回復できないまま、負ける結果となりました。2016年の春にはDNCが導⼊していた多要素認証システム(スマートフォンにSMSで届いたコードをPCに⼊⼒する認証)が破られDNCスタッフ幹部などのメールアカウントに侵⼊されています。

2016年の失敗を受け、2017年にDNCはボブ・ロード⽒をCSO(最⾼セキュリティ責任者)として採⽤しました。ロード⽒はFIDO2準拠のセキュリティキーを使ったGoogleのAdvanced Protection Programを導⼊し、DNCは2018年の⽶国議員選挙では海外のハッカーからの攻撃に耐えることができました。そして2020年の⼤統領選挙でも引き続きFIDO2準拠のセキュリティキーを⽤いた認証⽅法を採⽤していたバイデン⽒の当選につながったと考えています。

FIDO2認証とは

2017年にロード⽒がDNCに導⼊したこのFIDO2とは、パスワードに依存しない認証⽅法のことであり、これにより安全なパスワードレス認証が可能となります。⽣体情報やPINコードなど認証に必要な情報はスマートフォンやICカード、セキュリティキーといったローカルの認証器に保存される仕組みとなっているため、ネットワークからはアクセスすることができず、攻撃者が窃取することは極めて難しいとされています。

サイバー攻撃を避ける⽅法──パスワードレス認証、そして「認証維新」

SolarWinds事件と2016年の⽶国⼤統領選挙におけるサイバー攻撃の共通点として、攻撃者がパスワードを含むクレデンシャル情報を窃取したことが原因となっていることのほか、多要素認証が突破されていることが挙げられます。もし2016年の⽶国⼤統領選挙の教訓を⽣かした認証強化の対策を⾏い、そしてFIDO2を利⽤していたならば、このような侵⼊を防ぎ他のリソースまで被害が広がることはなかったと考えています。

ISRは「安全かつ便利な認証を(Secure Yet Easy To Use Authentication)」というビジョンをもとに、パスワードに依存しない安全な認証の標準化を⽬的として2012年に発⾜したFIDOアライアンスに2014年から加盟しています。そして2015年にはスマートフォンの⽣体認証機能を使った専⽤アプリケーションCloudGate Authenticatorを提供、2019年5⽉からは企業向けクラウド型認証サービスCloudGate UNOFIDO2に対応したパスワードレス認証の提供を開始しました。

シングルサインオンサービスCloudGate UNOとは?

2021年以降、従来のパスワードを使⽤する認証からパスワードを使⽤しない(パスワードレス)認証への変⾰が急速に進むと考えており、暗いパスワード時代から明るいパスワードレス時代へ転換するという意味で、私たちはこの変⾰期を「認証維新」という⾔葉で表現しています。

そして⼀つでも多くのサイバー攻撃による被害拡⼤を阻⽌するためにも、⽇本をパスワードから解放し企業の情報資産を守ることに努めていきます。

ユーザーIDとパスワード認証ではサイバー攻撃を避けられない。SolarWinds事件から学ぶ