アカウントを保護するために多要素認証(MFA)を導入する人は、誰もがそうするわけではありません。多くの人は、この認証方法の弱点があるにもかかわらず、単純なユーザー名とパスワードの組み合わせに固執しています。
しかし、MFAを有効にしたい場合、どの選択肢を使うべきでしょうか。MFAの各選択肢には脆弱性があり、ユーザーの負担(摩擦)も生じるため、ITマネージャーはユーザーとセキュリティ上の懸念に最も適したMFAの選択肢を選ぶ必要があります。
パスワードの問題
パスワードは最も一般的な認証方法です。残念ながら、多くの実装は人間の悪い習慣と古い技術標準によって弱体化しがちです。
標準的な最低要件は、複雑性を備えた8文字のパスワードを求めることです。ここでいう複雑性とは、大文字・小文字のアルファベット、数字、特殊文字を混在させることを指します。しかし、総当たり(ブルートフォース)攻撃は、複雑性のある7文字パスワードならほぼ即座に破られ、8文字パスワードでも解読に1時間しかかからないレベルに達しています。
解読されやすいことが十分に悪いだけでなく、多くの攻撃者はすでにパスワードを入手しており、総当たり攻撃を行う必要すらありません。LastPassの調査では、44%のユーザーが同一または類似のパスワードを使用していると推定されており、それがセキュリティリスクであると理解しているにもかかわらずです。
SpyCloudの観測では、この使い回しが悪用されがちであることが分かりました。2020年のデータ侵害の約60%は使い回しパスワードが関与しており、Fortune 1000企業の従業員に関する侵害ではこの数値が76%に増加しました。
こちらも読む:
MFAによる改善
2つ以上の認証方法を使用すると、二要素認証(2FA)または多要素認証になります。MFAの利用はユーザーにとって手間になる場合があり、普遍的に採用されているわけではありません。
Microsoftによると、2020年にアカウント保護のためにMFAを使用していたAzure Active Directory顧客は22%にとどまり、エンタープライズのクラウドユーザー全体では11%にすぎませんでした。平均的な月に侵害される120万件のMicrosoftエンタープライズアカウントのうち、99.9%はMFAが有効化されていません。
しかし、MFAは侵害を大幅に減らすうえで有効であることが広く示されています。Googleが1億5,000万人のユーザーと200万人のYouTubeクリエイターに対して2FAを自動的に有効化した後、アカウント侵害が50%減少したことを記録しました。
MFAの基本
認証は次の4つのカテゴリのいずれかで設定できます:
- あなた自身であるもの: 顔認証、指紋、声紋などの生体認証
- あなたが持っているもの: コンピュータ、iPad、電話などの特定デバイス;スマートカード、IDバッジ、鍵、トークンデバイスなどコードを生成するデバイス;Google Authenticatorのようにデバイスに紐づくアプリ
- あなたが知っているもの: パスワード、パスフレーズなど
- あなたがいる場所: IPアドレスまたは地理的地域
ユーザー名とパスワードは認証形態の1つであることが多いため、他の方法のうち1つ以上を使用することが第2の認証要素になります。
一般に、MFAの各分類は次の3つの潜在的な問題のいずれかを抱える可能性があります:
- 設定の難しさ
- 認証情報の盗難
- 認証情報の破損
あなた自身であるもの
「あなた自身であるもの」は一般に生体認証を使用します。生体認証の採用は増え続けていますが、多くのWebアプリケーションやハードウェアデバイスは生体認証をサポートしていません。設定上の難しさには、専用ソフトウェアや周辺機器が必要になることが含まれ、これらはそれ自体に欠陥がある可能性もあります。
生体認証は認証情報の盗難に対して最も耐性のある認証ですが、本人の意思に反した認可(不本意な認証)に弱い場合があります。例えば、ある人がスマホで指紋認証を使っている場合、別の国にいる熟練ハッカーがインターネット越しにその人の指を簡単に盗むことはできませんが、6歳の子どもなら、その人が眠っている間に簡単に指にアクセスできてしまうかもしれません。
生体認証は、身体的外傷による破損の影響も受け得ます。例えば、ユーザーが脳卒中を起こした後は音声認識が失敗することがあり、事故による瘢痕で指紋認証が失敗することもあります。
あなたが持っているもの
「あなたが持っているもの」はMFAの古くからある形態の1つで、広く採用されています。このカテゴリの認証には次が含まれます:
- USB周辺機器および物理的セキュリティトークン
- スマホ上のアプリ(スマホを所持していることを証明する)
- 許可されたハードウェアに対するMACアドレスのホワイトリスト化、または証明書認証
残念ながら、新しいWebアプリはライセンス費用のためにこの認証のすべての形態をサポートしないことがあり、また設定を個別に行う必要がある場合もあり、大規模組織ではスケール面の難しさが生じます。
物理トークン、周辺機器、スマホ、コンピュータは、仮想的な手段でハッカーが盗むことは困難です。しかし、この困難さは、特定の状況における盗難や複製の問題を排除するものではありません。例えば、物理的にアクセスできる人物がUSB認証器を持ち去ることもありますし、ハッカーがバッジ管理データベースに侵入してバッジを複製することもあります。
「あなたが持っているもの」は、人が鍵、バッジ、USBトークンデバイスを頻繁に忘れるため、人的ミスにも弱い傾向があります。出張する従業員の場合、タクシー、レストラン、ホテル、飛行機内などにスマホやノートPCを置き忘れることも非常によくあります。
あなたが知っているもの
「あなたが知っているもの」は通常、特定のユーザーIDに対するパスワードという基本的な認証方法であり、最も一般的で設定も容易です。これは導入が最も単純で一般的な認可であり、理論上は、サイバー攻撃者が私たちの頭の中に手を突っ込めないため、盗難の影響を最も受けにくいはずです。
しかし実際には、人の頭は情報で混み合い忘れっぽいため、この認証方法は容易に破綻し、認証情報の盗難につながる代替手段を招きます。前述のとおり、人は思い出しやすくするためにパスワードを使い回すことが多く、他にも単純なパスワードを使ったり、紙にパスワードを書き留めたりする人が少なくありません。
12文字を超える複雑なパスワードやパスフレーズが常にサポートされているとは限らず、多くの組織は従業員のパスワード管理を支援するためのパスワードマネージャーを採用していません。さらに、パスワード暗号化はベストプラクティスとして定義されているかもしれませんが、多くの組織は侵害を受けた後になって初めてパスワードを適切に保護するため、このカテゴリは当面脆弱なままである可能性が高いでしょう。
あなたがいる場所
「あなたがいる場所」はMFAの選択肢として常に挙げられるわけではありませんが、IPアドレスをホワイトリスト化したり、特定の地理的エリアにアクセスを制限したりすることは可能です。この方法は広く採用されておらず、Webアプリで利用可能な選択肢であることも多くありません。
地理的位置は盗めませんが、偽装は可能です。悪意ある攻撃者はVPNを使って、自分のコンピュータが別の場所にあるように見せかけることができます。しかし、IPアドレスの偽装ははるかに困難です。
地理的位置は破損しませんが、移動によって無効になることがあります。ITマネージャーは、顧客訪問を定期的に行う必要がある役員や営業担当者に対して、この種の認証を有効にすることをしばしば見送ります。事前にIPアドレスや地理的な行程を入手するのが難しいため、「あなたがいる場所」による認証の管理は負担になり得ます。
MFAへの攻撃
MFAの採用が進むにつれ、攻撃者は対抗策を開発してきました。現在、攻撃者は被害者からMFAの認証情報を入手する最も一般的な手段として、中間者攻撃や認証情報を盗むマルウェアの使用を狙っています。
認証情報窃取マルウェア
最も弱いリンクは依然としてユーザーです。人はフィッシング、あるいは悪意あるアプリを通じて、悪意あるソフトウェアをダウンロードするよう騙されることがあります。これらの攻撃は、MFAコード、認証証明書、またはブラウザからの認証クッキーを盗み、攻撃者にアクセスを与えます。
この方法は技術で対抗するのが難しい場合があります。それでも、フィッシング攻撃についてユーザーを教育するために用いられるのと同じ手法が多くのシナリオに当てはまり、推進すべきです。
中間者攻撃
一般にフィッシングを通じて実行される中間者(MITM)攻撃では、攻撃者が、メールサービスのログインページやカスタマーサービス担当者からの電話など、被害者に本物らしく見える類似リソースを作成します。偽のリソースは本物のリソースで想定される手順を複製し、認証情報を本物のリソースへ中継してMFAプロンプトを発生させます。
MFA認証がユーザーに届くと、被害者は偽リソースを通じてその認証コードを攻撃者に渡してしまいます。攻撃者は傍受したコードを使い、本物のリソースの乗っ取りを実行できます。
最も危険なMITM攻撃は、当座預金口座、証券口座、Gmailなどへのアクセスに2FAとして一般的に使われているSMSテキスト認証を悪用します。攻撃者はSIMスワップ攻撃を実行し、電話やテキストを不正に自分の管理下の端末へ転送します。
同様のMITM攻撃やリバースプロキシ攻撃は、わずかな変更でメール、アプリ、さらには証明書でも容易に起こり得ます。幸い、この攻撃にも対抗策があります。
Microsoftは、MITMおよびダウングレード攻撃に対抗するため、Exchange Online向けにMTA Strict Transport Security(MTA-STS)のサポートを実装しました。RADIUSサーバーも、デバイス間の通信が事前に認可されたデバイスと事前に認可されたサーバー間でのみ発生することを保証するために使用できます。
それでも有効なセキュリティ選択肢
潜在的な攻撃や弱点が存在するにもかかわらず、MFAは可能な限りセキュリティスタックに追加すべきです。GoogleとMicrosoftは、MFAの採用が成功する攻撃の数を劇的に減らすことを証明しました。
各ユーザー、各リソース、各組織には、特定の種類のMFAに関して制約や好みがあります。ITマネージャーは、安全でないアカウントと不満を抱える従業員の間でバランスを取りながら、より高いセキュリティへと推し進める必要があります。選択肢が非常に多いため、ユーザーに過度な負担をかけず、同時に組織のリスクも低減できるMFAを選択できます。
翻訳元: https://www.esecurityplanet.com/applications/mfa-advantages-and-weaknesses/
