• ゼロトラスト
  • サイバー攻撃
  • マルウェア対策

広がり続ける「フィッシング」の脅威。
対抗策として期待される「パスワードレス認証」とは?


                                                                        beyondidentity_article.jpg

実在する組織を騙って偽サイトなどに誘導し、ID・パスワードなどの情報を詐取する「フィッシング(Phishing)」。不審なメールやURLに注意することが基本的な対策ですが、本物そっくりの偽Webサイトに誘導され、入力したクレジットカード番号やアカウント情報を盗まれる被害は拡大し続けています。
一般的に個人の生活に潜む問題と思われがちですが、その脅威は企業も例外ではありません。業務システムへの不正ログインによる機密情報漏えい、ランサムウェアなどの被害を避けるために、フィッシング対策は急務です。そこで期待されているのが、パスワードを利用しない「パスワードレス認証」。パスワードを使わずにどうやって認証するのか、どのように対策できるのか、詳しく解説します。

この記事を読んでわかること

  • フィッシング被害が増加し、企業の業務用SaaSでもリスクがあるため対策が必須
  • フィッシング対策には多要素認証(MFA)が効果的だが、一部のMFAにも攻撃されるリスクがある
  • 先進性の高いパスワードレス認証、Beyond Identityによって強固なセキュリティと利便性を提供できる
SCSK株式会社 ITプロダクト&サービス事業本部 営業推進部 商品企画課長 藤井 基宏

SCSK株式会社
ITプロダクト&サービス事業本部
営業推進部 商品企画課長
藤井 基宏
SCSK株式会社 ITプロダクト&サービス事業本部 営業推進部 商品企画課 相良 洋碩

SCSK株式会社
ITプロダクト&サービス事業本部
営業推進部 商品企画課
相良 洋碩
SCSK株式会社 ITプロダクト&サービス事業本部 営業推進部 商品企画課 栗井 宏貴

SCSK株式会社
ITプロダクト&サービス事業本部
営業推進部 商品企画
栗井 宏貴

増え続けるフィッシング被害。企業としても対策は必須

「フィッシングによる個人情報などの詐取」は、IPAが公開している「情報セキュリティ10大脅威 2023(※)」において個人向け脅威の1位となり、前年に引き続き2年連続でトップに挙げられています。フィッシング対策脅威議会のフィッシング月次報告状況を見ると、2022年の報告件数は約97万件にのぼり、2021年の約53万件から大幅に増加していることが分かります。
有名企業を騙るメールやショートメッセージサービス(SMS)で偽Webサイトに誘導し、認証情報や個人情報を詐取する手口は、B to C領域での被害が大きく、プライベートで利用するSNSやショッピングサイトなどで、クレジットカードの不正利用・SNS乗っ取りに関する注意喚起がされてきました。

「IPAでは個人向けの脅威として挙げていますが、企業が利用する業務用のSaaSにも、同様のリスクがあります。SaaSの利用が増加する中、機密情報を扱うサービスのアカウントが乗っ取られれば、重大な情報漏えい事件につながります。企業としても、フィッシングへの対策は早急に講じるべき領域です」(藤井)。

2023年2月には、業務用スマートフォンに届いたフィッシングメールによって、従業員のID・パスワードが盗まれ、数百人の業務関係者の個人情報が漏えいしたと報道されています。

※1:出典 IPAプレス発表「情報セキュリティ10大脅威 2023」を決定より
https://www.ipa.go.jp/about/press/20230125.html

フィッシング対策で鍵を握る「認証」

不審なメールやURLなどに気を付けることは対策の基本ですが、攻撃の手口が巧妙化する中、個人の努力では完全には防ぎきれないことを前提に、システムでの対策をおこなうべきです。

「フィッシング対策では『本人確認をいかに正確に実施するか』、つまり認証が重要です。これまではパスワードだけの “単一認証”が主流でしたが、これではIDとパスワードが漏えいした時点で認証を突破されてしまいます。より確実に本人を確認するため、最近では複数要素による“多要素認証(MFA)”が浸透しています」(藤井)。

多要素認証はパスワード以外の要素を組み合わせて認証をおこなうことで、万が一IDやパスワードが漏えいしても、他の要素で認証をブロックする対策です。多要素認証は、大きく下記3つの情報(要素)から、複数を組み合わせて認証をおこなう認証方式を指します。

  • 知識情報:利用者が知っている情報。パスワードが該当。
  • 所持情報:利用者が所持している情報。スマートフォンやトークンなどのデバイスを用いる。
  • 生体情報:顔認証、指紋認証、静脈認証など利用者の生体情報。

一般的には知識情報と所持情報を組み合わせた多要素認証が多く、パスワードによる認証後、スマートフォンにメールやSMSで通知されたワンタイムパスワードで認証するなどの方法が広く利用されています。

図1:多要素認証「3つの要素例」

図1:多要素認証「3つの要素例」

多要素認証にすればすべてOKではない、パスワードやスマホ認証が抱える課題

ID/パスワードに他の要素を加えて認証をおこなえば、認証の強化として一定の効果は期待できます。しかし、すべての多要素認証がフィッシングへの耐性をもつわけではないことに注意が必要です。

キーワードは“Phishable(フィッシャブル)”、フィッシング可能であるかどうかです。ワンタイムパスワードやSMSで送られてくるパスコードは、それらを認証時に入力するという点でパスワードと同じです。これらは一定時間内で有効であり、フィッシングサイトに入力した情報を盗まれて有効時間内に不正アクセスに利用されます。また、スマホに承認要求が送信されるような形式の多要素認証では、ユーザーが正規のサービスに接続していると思い込んでいれば、その裏でフィッシング犯罪者がおこなっている不正アクセスを承認してしまいます。
さらに、漏えいしたIDとパスワードを利用してログインを繰り返し、ユーザーに大量の承認要求を送り付けるMFA Fatigue Attackと呼ばれる攻撃により、大量の承認要求に疲弊したユーザーに承認をさせてしまうなど、人間心理に付け込んだ攻撃も登場しています。記憶に新しいところでは、2022年にUberがMFA Fatigue Attackによる攻撃を受けています。

フィッシングサイトに誘導されてしまうと効果をもたなくなる多要素認証ではなく、人間心理に付け込んだ攻撃に遇わないような手法による多要素認証として期待されているのが、“パスワードレス認証”です。パスワードレス認証では、パスワードのようにそのまま利用できる認証情報をネットワークに送信しないため、フィッシングサイトに認証情報を盗まれません。ユーザーによる誤操作のない形でパスワードレス認証を多要素認証に組み込むことで、フィッシングや認証攻撃に耐性の高い多要素認証を実現することが可能です。

最近は複数のSaaSを利用する企業が増えており、それに比例してパスワードの数も増加しています。パスワードを管理しきれず、社員の使いまわしが発生しやすくなるほか、パスワード忘れが頻発し、そのためのリセット対応が情報システム部の大きな負担になるといった問題が発生しています。
パスワードレス認証はシステム側への実装が必要である点が課題ですが、実現すればユーザーによるパスワードの使いまわしや入力の手間、初期化のための運用コスト削減など、セキュリティと利便性を大きく向上させることができます。

強固なセキュリティと利便性を両立する「パスワードレス認証」

パスワードレス認証はパスワードを使用しないので、漏えいリスクが低減されます。複数のパスワードを記憶する必要もパスワード忘れのためのリセットも不要になり、社員にも情報システム部門にもメリットは非常に大きいです。また、フィッシング対策としてだけでなく、これからの認証をより強固にする先進的な認証方法としても注目を集めています。
このパスワードレス認証を実現する多要素認証ソリューションの1つに、クラウド型の認証プラットフォーム「IDaaS(Identity as a Service)」と連携する「Beyond Identity」があります。
Beyond Identityは、生体情報と所持情報を組み合わせた多要素認証を実現しており、生体情報にはデバイスが搭載する顔認証(Windows Hello、FaceIDなど)や指紋認証(TouchIDなど)を使用し、所持情報であるデバイスの情報(OSのバージョンなど)と合わせて認証することで、セキュリティ強化と利便性を両立します。

「Beyond Identityは“Unphishable(アンフィッシャブル)、フィッシング不可能な多要素認証”を謳っており、フィッシング対策に高い効果を発揮します。こういったソリューションでは、利用者と認証基盤の間でどのようなデータがやり取りされるかが重要です。極端な例ですが、IDとパスワードがHTTPSの中をそのまま流れているような通信では、中間者攻撃ですべて情報を取られてしまいます。Beyond Identityであれば、データの保護はもちろん、中間者攻撃も検知し、そこで認証をブロックすることで、セキュリティをきっちり担保する仕組みを提供します」(藤井)。

「また、IDaaSのようなIdP(Identify Provider:クラウドサービスなどにアクセスするユーザーを認証し、認証情報を保管・管理するサービス)と連携することで、パスワード運用管理の課題からも解放されます。IdPはクラウドサービスのシングルサインオン(SSO)を実現し、複数SaaSの認証を1ヶ所に集約できることが特長です。Beyond IdentityをIdPと連携させることで、1度Beyond Identityで認証するだけでよく、パスワード忘れへの情報システム部の対応も不要になります」(相良)。
まず、デバイスからIdPのログイン画面にアクセスすると認証要求がBeyond Identityにリダイレクトされ、生体+デバイス情報で認証がおこなわれます。認証の完了はIdPに連携され、IdPへのログインが完了。IdPに登録されている各種クラウドサービスやWebアプリケーションを利用できます。もちろん、認証に関する処理はすべて自動で連携されるため、利用者は要求に応じて生体認証をおこなうだけでよく、各種サービスやアプリケーション利用時の手間を最小限に抑えます。

図2:認証のフロー

図2:認証のフロー

デバイスの状態を含めて認証可否を判断。ゼロトラストとしても有効

不正な侵入を防ぐことは非常に重要です。しかし、正常な認証を受けてアクセスできればそれでよいというものではありません。アクセスしたデバイスがマルウェアなどに感染し、アクセス後に感染が拡大してしまうケースもあり得ます。このリスクを低減するための機能を、Beyond Identityは備えています。
Beyond Identityは、認証を許可するかどうかをデバイスの状況で判断します。デバイスにインストールしたBeyond Identityエージェントが、『ファイアウォールを設定しているか』『アンチウイルスソフトがインストールされているか』『Windowsは最新か』などの情報を収集し、事前に設定したポリシーをクリアしたデバイスのみに認証を許可します。

「本人の確からしさが分かっても、使用しているデバイスのWindowsアップデートをしていなかったり、アンチウイルスソフトが無効化されていたりすると、そのセッションはセキュアと言えません。デバイスの状態も含めて認証の可否を判断することで、より高い安全性を担保します」(相良)。

この機能は、働き方が多様化する中で注目されている「ゼロトラスト」を実現する要素の1つです。ゼロトラストは、あらゆるところに危険が潜み、安全な領域はない(すべて信頼できない)という前提に基づいてセキュリティ対策をおこなう概念です。

「従来は、社内と社外の境界にセキュリティ機器を設置する境界型セキュリティが主流でしたが、SaaSやテレワークの普及により限界を迎えています。ゼロトラストでは、あらゆるトラフィック(通信)を信頼せず、接続があるたびに『アクセスを許可してよいか』『セキュアかどうか』を確認することで、セキュリティを担保します。Beyond Identityは認証の観点からゼロトラストの概念に沿ったソリューションと言えます」(相良)。

今、投資すべきセキュリティ対策のひとつ

フィッシングは、企業にとっても大きな脅威であることは間違いありません。米国政府は2022年1月26日(米国時間)、ゼロトラスト戦略として、取引先企業などにフィッシングに強い認証方法などの導入を要件として発表しました。この流れが日本にも波及することは間違いないでしょう。
パスワード入力の手間をなくし、社員の利便性向上とあわせてセキュリティもしっかりと担保するBeyond Identityは、社員にとっても情報システム部門にとってもメリットが大きく、フィッシング対策としてだけでなく、これからの認証をより強固にする先進的なソリューションと言えます。

「お客様に認証の話をすると、どこまでお金をかければよいか分からないと悩まれる方が少なくありません。ですが、万が一、情報漏えいなどが発生すれば損失は甚大で、企業としての信頼回復に時間がかかります。セキュリティの要である認証への投資は、安定してビジネスをおこなうために不可欠なものだとお伝えしていきたいです」(栗井)。

最新情報などをメールでお届けします。
メールマガジン登録