アイデンティティをどう守っていくか
最新の脅威情報と対策のポイント

　様々なサイバー攻撃の中でも、アイデンティティ情報を狙った攻撃が非常に増えている。アカウント情報や口座番号、メールアドレスなどの情報を窃取するマルウエアは「インフォスティーラー」と呼ばれているが、「RedLine Stealer」や「META Stealer」というマルウエアを聞いたことのある読者もいるだろう。実際にこれらのマルウエアは、過去12カ月で2億件以上の認証情報を盗み出したといわれている。

　「情報漏洩の80％以上は認証情報の不正使用に関係しているという調査結果もあります」と語るのは、Okta Japanの板倉 景子氏。アイデンティ管理ソリューションベンダーであるOkta自身も常にこの脅威にさらされており、クレデンシャルスタッフィング攻撃やフィッシング攻撃、パスワードスプレー攻撃など、資格情報を狙った様々な攻撃を毎月30億以上ブロックしているという。そうした中でも特に2種類の脅威が紹介された。

　第1は「Scatter Swine」。何年も前から活動を行っており、今なお活発なサイバー攻撃グループだ。巧妙なソーシャルエンジニアリング攻撃を仕掛けてくることが多く、例えば、標的企業のITサービスデスクを装い、現実にありそうな口実を使ってユーザーを騙す。また、手段や目的が時間の経過とともに変化していることも注目すべきポイントだという。

　「以前は主に通信会社を標的にSIMスワッピングを行っていましたが、最近ではランサムウエアグループと連携して大企業を脅迫することで、より大きな利益を狙うようになっています。また、ソーシャルエンジニアリングの手法も、以前は一般従業員を装ってヘルプデスクに電話をかけてパスワードリセットを要求する手口でしたが、今ではCFOなどのエグゼクティブを装うケースが増えています。そのほうが例外対応を行わせやすく、プロセスの隙が生まれやすいからです」と板倉氏は指摘する。

　第2は、認証連携されていないアクセスを狙った攻撃だ。技術的な制約で認証連携・SSOができずに直接アクセスせざるを得ないアカウントや、運用保守のために直接アクセスしているアカウントなど、認証連携されていないアカウントは意外に多い。これらが悪用されるケースが散見されるのだ。

　このような脅威に対してどのような対策を施せばいいのか。板倉氏は2つの施策を紹介する。1つ目は「フィッシング耐性のある認証」の活用だ。

　「一般的な名称ではパスキーやWebAuthn、OktaのソリューションではOkta FastPassがこれに該当します」と板倉氏。いずれも、従来のようなパスワードに依存せず、公開鍵暗号方式で認証器を利用して、クライアントサイドで本人確認を行う認証方式である（図1）。 　なぜこの方法であればフィッシング耐性が高いといえるのか。理由は大きく3つある。

　まず、認証方式が公開暗号方式と「デバイス所持をベースにした」認証になっており、パスワードのような機密情報がネットワーク上に流れないからだ。ユーザーはアカウントを作成する際に、認証器（YubiKey）で公開鍵と秘密鍵のペアを作成し、公開鍵だけをサーバー側に保存。認証の際にはサーバー側が「チャレンジ」というランダムな文字列を送り、クライアント側は認証器の中にある秘密鍵で生成した署名をサーバーに送り返す。サーバーはその署名を公開鍵で検証して認証が成立するのだ。

　第2は資格情報が正規ドメインとひも付けられていること。そのため偽ドメインでは認証に失敗する。そして第3が、認証器自体の信頼性も「アステーション」という仕組みで担保されていることである。

　この認証方式でもう1つ注目したいのが、利便性向上にも寄与することだ。「当社の調査では、パスワードでのログインの平均所要時間が11秒であるのに対し、Okta FastPassでは4秒に短縮できることが分かっています。また、ログイン失敗率も、パスワードでは9.78％であるのに対し、Okta FastPassは1％未満となっています」と板倉氏は語る。

　最新の脅威に対するもう1つの施策は、アカウント自体の見直し、特に管理者アカウントの見直しである。その具体的なTipsについて、板倉氏は次のように説明する。

　まず行うべきは、管理者の数や権限を制限すること。ヘルプデスクやサービスのアカウントは「念のため」ということで必要以上の権限を付与する傾向があるが、管理者の役割に応じてアカウントを細分化し、それぞれに最小限の権限を付与するべきだという。

　次に、リスクの高い処理を行う場合には追加の認証を求める、高い権限を渡すときには時間制限を設定する、ASNとセッションをひも付ける、といった「追加の施策」も重要になると指摘。また、複数ユーザーが使う共有アカウントの場合には、資格情報をローテーションする、といった対応も求められると述べる。

　そして、新規管理者の作成や権限の変更などを検知する仕組みや、ログ調査を可能にするための仕組みも実装すべきだと指摘する。

　「これらの施策はいわゆる『ゼロスタンディング権限アプローチ』という思想に基づいています。常時特権を持っているアカウントを合計ゼロにすること。これが理想的な状態なのです」（板倉氏）

　ただし、すぐに「完全にゼロにする」ことは難しいため、段階を追って実現するのが現実的だ。まずは、最も権限のある管理者が頻繁に使用する機能を調査し、組織内の役割に必要な「ベースライン権限」を明確化。その上で、最も頻繁に使用する権限のみを含むカスタム管理者ロールへと標準ロールを置き換えていく。さらに、特権の度合いが強いのにあまり頻繁に使用されないアクセスについては、承認プロセスの確立や時間制限付きでの利用許可、ステップアップ認証などを実施。このようなアプローチで常時特権を持つ管理者をゼロに近づけていくのだ。

　なお、ここで紹介した対策は、Okta製品を利用することで実現可能だ。Okta社内でも実装されている。Oktaではすべての従業員と業務委託のメンバーがFastPassで認証を行っており、特権アクセスも必要最小限になるよう拡張しているという（図2）。 　このように見ていくと、アイデンティティがセキュリティー対策の重要なポイントであることが改めて理解できる。そしてこれを極めることは、サイバー攻撃リスクの最小化に直結するのだ。