急増する不正アクセス、安全な認証を考える

ユーザ任せのパスワード管理が招く、クラウドへの不正アクセス

今、不正アクセス行為によるなりすましが増加している。機密情報の電子化が進む中、認証情報の漏えいを防ぎ、いかに正しいユーザであるかを確認するのかといった問題がクローズアップされている。ここでは、不正アクセスを防ぐための認証強化について考察してみる。

拡大する不正ログインの被害

警察庁の統計によれば、2014年における不正アクセス行為によるなりすましの件数が、認知されたものだけでも1,000件を超えるなど急増している。さらに、検挙された不正アクセス行為のうち、99%以上が不正に入手したIDとパスワードを利用した不正ログインによるものとなっており、この傾向は少なくとも2010年以降変わりがない。 (出典:http://www.soumu.go.jp/main_content/000347975.pdf)


背景にはいくつかの要因が考えられる。まず、相次ぐ大規模な情報漏えいによって認証情報を含む多くの個人情報が流出していることがあろう。2015年にも世界各地で多くの情報漏えいの被害が報告されている。国内でも、7月にタミヤのオンラインショップから10万人以上のユーザ情報が漏えいし、報道によれば流出したデータにはログイン用のパスワードが含まれていたという。

そして上記に加えて、IDとパスワードの組み合わせによる認証は、非常に攻撃が容易であるという点がある。例えばセキュリティホールやゼロデイ攻撃のように、サーバの脆弱性を突く攻撃には一定の知識とスキルが要求される。更に、不審なアクセスは監視網に検知され易く、攻撃者自身が危険に晒されるリスクもある。しかし、IDとパスワードによる認証に対する攻撃を遂行するためには、特別な知識やツールは必要ない。通常のユーザと同様の手順で、不正に入手した認証情報を入力すれば目的は達成されてしまう。

ID/パスワード認証に対する攻撃

IDとパスワードの組み合わせは、最も普及している認証方式といえるだろう。普及が進んでいるだけに、多種多様な攻撃手法が存在する。

まず容易に実行できるものとしては、パスワードを解析するタイプの攻撃が存在する。このタイプの攻撃としては、パスワード文字列として考えられる全ての組み合わせを総当りで試みるブルートフォース攻撃、パスワードとしてよく用いられる人名・地名・単語などを順番に試みる辞書攻撃等が広く知られている。しかしこれらの攻撃はサーバ側で比較的容易に検知できるため、例えば一定回数繰り返しパスワード誤りが続いているIDに対しては認証要求をロックする、といった対策が可能だ。

次に、何らかの不正な方法でパスワードを入手する攻撃手法がある。これは、サーバへの攻撃によるものとユーザ本人から入手するものとに大別される。

サーバへの攻撃が成功した場合、攻撃者は大量のユーザの認証情報を一度に手に入れることができる。一般にサーバで保存されているパスワードはハッシュ化されていることが多く、レインボーテーブルと呼ばれる仕組みを使ってハッシュ値から元のパスワードを導出することができる。このような手法で不正に入手されたIDとパスワードを用いて、パスワードリスト型攻撃が行われる。

一方でユーザ本人から入手するものは、より手の込んだ手法が採られる。
本物そっくりのサイトを用意してユーザにIDとパスワードを入力させるフィッシングや、キーロガーと呼ばれるマルウェアを用いてユーザの入力したIDとパスワードの文字列を盗み取る手法が存在する。また、スマートフォンやPCを利用するユーザの肩越しに、ログイン操作や画面を覗き見ることでパスワードを取得するショルダーハッキングといった手法も知られている。
このような多彩な攻撃手法の存在にも関わらず、IDとパスワードによる認証はなぜ今もなお広く用いられているのだろうか。さまざまな理由があると考えられるが、一つには、少なくとも現時点ではIDとパスワードを置き換えるに足る方式が他に存在しない、という点が挙げられるだろう。パスワードは一般に広く受け入れられており、特別なコストをかけることなく、誰にでも手軽に利用できる認証方式と考えられている。

また、想定される攻撃に対しては、事前に適切な対策をとることで一定程度の効果を期待することができる。リスクを十分に下げることができていると判断できるのならば、パスワードを使い続けるという選択も合理的といえるだろう。ただし、適切な対策としては、サーバ側の不正攻撃に対する対策だけではなく、ユーザ側にも対策への協力が求められる場合があることに注意する必要がある。

例えば、ユーザが複数のサービス間で同じパスワードを使い回していれば、1箇所から流出したパスワードを使って他のサービスへのログインできてしまう。正しいパスワードが用いられているので、サービス側ではその認証要求が成りすましによるものなのかを識別することは非常に困難である。

そこでいくつかのサービスでは、パスワードの適切な取り扱いをユーザに求めている。パスワードの使い回しをしないとか、単純で推測されやすい文字列を使わないとか、一定期間ごとにパスワードを変更するといったパスワードポリシを定め、それをユーザに遵守させる。これらの対策はユーザには不便を強いるが一定の効果は期待できるため、システムによって強制的に適用される場合も多い。

新しい認証方式

そこで近年では、パスワードによる認証を前提としつつ、より安全な認証を実現する仕組みも登場している。多要素認証やリスクベース認証という形態である。

(1)多要素認証

パスワードによる認証は、パスワードの文字列を知っているのは本人だけである、という前提(知識認証)にもとづいている。認証の種類としては他にも、本人のみが持っている物にもとづく方式(所有物認証)や、本人の身体的特徴や属性(生体認証)といった種類が存在する。多要素認証では、通常のパスワードによる認証に加え、所有物認証や生体認証を組み合わせることで、単にパスワードを知っているだけでは認証が成功しないようにする。なお、パスワードに加えて別の知識情報(例えば「秘密の質問」や「暗証番号」など)を組み合わせることは、同一要素の組み合わせに過ぎない。そのためこれを多段階認証として区別する場合がある。

(2)リスクベース認証

また、認証のためにユーザが提示した情報とは別に、ユーザのふるまいや特性を調べることで不正ログインの可能性を検知し、不正ログインの可能性が高い場合は追加的な認証情報の提示を求める形態も存在する。ユーザごとにふるまいを記録し、普段と異なる地域や時間帯に認証が行われた場合、たとえパスワードが正しくてもその認証要求は成りすましの可能性があると判断し、予め定められた別の情報(例えばトークンの所持や指紋認証など)の提示を求める。このような仕組みをリスクベース認証と呼ぶ。


いずれの形態も、認証に追加的な情報が求められるため、パスワードによる認証のみの場合と比べると、不正ログインの成功する可能性は格段に低くなる。

今後はパスワードに依存しない方式へ

さらに2014年以降は、新しい潮流が生まれている。
パスワードの存在を前提としない、パスワードそのものの存在に置き換わろうとする技術がクローズアップされるようになってきたのだ。

(1)FIDO Alliance

FIDO Allianceとは、パスワードを使わない安全なオンライン認証技術仕様の標準化に取り組んでいる団体の名称であり、技術仕様の名称でもある。本団体は2012年に設立され、2015年には加盟企業・公共機関等の数は250を超えた。日本では、NTTドコモが2015年5月に加盟を発表したことが話題となった。 従来の認証技術(例えば指紋認証やUSBキー認証など)は製品ごとに仕様が異なっており、例えばある認証技術をあるサービスに適用しようとする場合、個別にSDK等を用いたカスタマイズが必要だった。FIDO Allianceが目指す世界は、この製品やサービスごとの実装の壁を取り払い、標準仕様に準拠した製品やサービス間を原則自由に組み合わせることができる柔軟な相互運用性が安全に確保された世界だ。
※ドコモ加盟の報道発表 https://www.nttdocomo.co.jp/info/news_release/2015/05/26_00.html

(2)パスワードレス認証(M-Pin)

また、英国MIRACL社は、楕円曲線に基づくペアリング暗号とIDベース署名と呼ばれる技術を活用した新しい認証方式「M-Pin」を提供している。この認証技術は、一度の認証で「知識」と「所持」の異なる要素が同時に確認できる、新しいコンセプトの二要素認証を実現している。また、パスワードを用いないため、ユーザ情報の漏えいに伴うパスワードリスト攻撃などの懸念もない。さらに、ユーザごとに払い出した鍵を用いて認証を行う、という点では従来の電子証明書によるクライアント認証に似ているが、電子証明書のように階層化された認証局を必要とせず、ユーザ各人の公開鍵証明書の存在も必要としないため、運用の手間が大幅に軽減される。

M-Pinは、現在英国や北米で公的機関をはじめとするさまざまな分野で普及が進んでいる。日本ではまだ知名度は高くはないが、今後は徐々に利用が拡大するものと想定される。


クラウドサービスなどへの認証強化をどう進めるかで悩まれている方は、TrustBind、M-Pinの採用を検討してみてはいかがだろうか。

※当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します (MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ