出典:Panther Media Global via Alamy Stock Photo
現在、組織はメッセージングアプリ、クラウドサービス、仮想プライベートネットワーク(VPN)など、様々なプラットフォームとアプリケーションにログインするために二要素認証(2FA)を要求しています。しかし、平均的なドライバーは、2FAが自分の車庫に停まっている車を保護できることを認識していないかもしれません。
認証対策はフィッシングキャンペーンがより洗練される中で継続的に重要であり、攻撃者は増加するデータ侵害の中で認証情報を盗んでいます。今、2FAは従来のIT コンピューターの使用例を超えて、物理的世界も含むようになっています。プロトコルにより、ハッカーが家を暖める給湯装置の侵害、患者を治療する医療機器の侵害、盗まれた車の運転を防ぐことができます。
二要素認証は、従来のITシステムと物理的セキュリティの両方にとって衛生的要因と見なされるようになったと、SecureW2の製品管理ディレクターであるKalyan Aretは説明し、ユーザーはデバイスを盲目的に信頼すべきではないと警告しています。懸念は特にモノのインターネット(IoT)とサプライチェーンの整合性を保護することに拡がっていると、Aretは付け加えています。
組織は様々な産業全体で物理的環境を保護するために2FAを適用できますが、自動車とヘルスケアはすでに多くの進歩を遂げています。
自動車産業は2FAをどのように使用していますか?
自動車を標的とした攻撃はますます洗練されてきていると、Keyfree Technologies VPのDavid Bergは説明しています。組織化された犯罪グループは電子システムを使用して車のキーをクローン化しており、彼はDark Readingに語っています。
「彼らは人々の位置を知っており、時が良い時に、ユーザーが知らないうちに車庫から車を取るために誰かを送ります。キーで盗まれるからです」とBergは説明しています。カナダの保険会社と法執行機関が懸念を深めており、トロントを拠点とするBergは言っています。
攻撃はコンピューターで見られるもの、中間者攻撃またはスプーフィングのようなものに似ているため、2FAを実装することはIT以外の問題に対処する実行可能な方法のように見えます。彼が付け加えています。Keyfreeは、車に取り付けたハードウェアと、ユーザーがワンタイムパスワードでキーフォブを認証して車を始動するモバイルアプリケーションを組み合わせた2FAテクノロジーを開発しました。
セキュリティシステムのバイパス
攻撃者は様々な車を対象としていますが、通常は盗難が容易であるため、より古い車を好みます。電気自動車は常にインターネットに接続されているため、影響が少なくなっています。彼らは常に追跡されているため、それらを消すのは難しいと、Bergは説明しています。
「問題は、人々がハンドルロックやGPSトラッカーのようなものを破っているだけでなく、非常に隠密なことをしていることです」とBergは言っています。「彼らはリレー攻撃とキークローニングを行うことで組み込みセキュリティシステムをバイパスしています。人々はこれらのセキュリティシステムをバイパスしています。」
キーレス車への多要素認証(MFA)への関心が高まっていると、Marshの商業的米国製造および自動車産業実践リーダーであるLisa Caldwellは観察しています。彼女は進化を増加する盗難と新しい技術に起因し、企業がユーザーが摩擦のないセキュリティオプションを望んでいることを知っているため、評価中のソリューションの可能性が少なくなったと述べています。
「自動車会社は脆弱性をしばらく前から認識していましたが、利便性、信頼性、コストの課題が進行を遅くしました」とCaldwellはDark Readingに語っています。
コンピューターのようにコードを入力する代わりに、自動車会社は車への近接を必要とする超広帯域機能を備えたセキュアなデジタルキーを使用した2FA、顔IDや指紋などの生体認証、ATMのようなピンツードライブモデルで追加の通信手順がないものを検討しています。それは別の課題をもたらします。Caldwellは説明し、認証に明確な標準がないことを強調しています。
SAE International と国際標準化機構のような業界団体は、安全とセキュリティを管理するための成果により焦点を当ててきており、今では車両エントリーのメカニズムに焦点を当てています。Caldwellは付け加えています。
現在のところ、認証に対する直接的な規制要件を見る可能性は低いですが、車両に対する広範なサイバーセキュリティ要件にはより多くの焦点があるでしょう。Caldwellは付け加えています。
2FA要件の場合と同様に、使いやすさが問題になる可能性があるため、進行は遅い可能性があります。認証対策は高度なセキュリティを提供しますが、主にたまにしかアクションに適しており、日常的な使用には受け入れられていないと、自動車ソフトウェア企業FEV.io GmbHのグローバル機能安全およびサイバーセキュリティディレクターであるDr. Bastian Holderbaumは説明しています。
「ロック解除や車の始動など、頻繁に発生するインタラクションの場合、強制的な2FAはユーザーにとって便利ではありません」とHolderbaumはDark Readingに語っています。
ヘルスケアが参入
ヘルスケアは別の度高く標的化された産業で、日常的な実践に2FAを組み込むことを推進しています。透析機械のようなデバイスと、患者のヘルスケア情報をキャプチャする大きな診断機械は、機密データを保護するために2FAまたはMFAが有効になります。Aretは言っています。重要なことは、デバイスに存在するデータが暗号化されていることを確認するために2FAを実装し、ユーザーが実際にデータを送信する場合、デバイスとセントラルコントロールプレーン間のセキュアな通信を確認することです。彼は付け加えています。
「それはすべてポリシーによって駆動されます」とAretはDark Readingに語っています。「その証明書を発行する前に第2、第3、または第4の係数を押す、すべての固有、暗黙のポリシー。」
点滴ポンプ、画像処理システム、電子健康記録端子などの医療機器はネットワーク接続されている高い価値を持つサイバー犯罪者の目標です。Keeper Security CISOのShane Barneyは説明しています。したがって、一部のヘルスケア組織は、臨床医が機密機器または患者データと相互作用する前に、物理的認証情報とPINの両方を入力することを要求しています。Barneyは付け加えています。
「医療インフラストラクチャへの不正アクセスが実際の安全結果をもたらす場合、アイデンティティ保証のバーは単一要素より高くなければなりません」とBarneyは言っています。「そのバーはまた、要素自体の品質に拡張する必要があります。」
Barneyは、SMSベースのコードのような認証方法は、依然として一般的に使用されていますが、インターセプションとSIMスワップに対して脆弱なままです。2FAを実装することで、ほとんどの脅威モデルがまだ考慮していない「リスクのカテゴリを閉じる」ことができると、彼は付け加えています。
「誰かがサーバー室のロック解除、医療機器へのアクセス、送金の承認をしているかどうか、基本的な質問は同じです:少なくとも2つの独立したチャネルを通じてあなたが誰であるかを証明できますか?」とBarneyは言っています。
翻訳元: https://www.darkreading.com/endpoint-security/two-factor-authentication-breaks-free-from-the-desktop
