SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー

【徳丸浩が斬る、セキュリティのイマ:第10回】パスワード認証はもう限界、なぜパスキーに期待するのか?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。

パスワード認証に限界が見えてきた

 はい、「パスワードレス」というのはもうずいぶん長いこと言われている課題ですが、そもそも、なぜパスワードレスと言われるのかという話から始めたいと思います。

 まず、認証方式として長く使われているパスワード認証ですが、なぜ使われ続けているかというと、良いところがたくさんあるからです。実装が簡単であるとか、パスワードの桁数を増やせば安全性を高められるとか、様々なデバイスで用いることができるとか。

 一方、パスワード認証を使うサービスが世の中に増えてきたことと、それを利用する層が老若男女に広まったことで、問題点も明らかになってきました。1つ目は、どうしても安易なパスワードをつけてしまう人がいる点。たまに「芸能人や有名人のアカウントが不正ログインされた」というニュースがありますが、この大多数は、安易なパスワードをつけていた、たとえば誕生日や本名をパスワードにしていたことなどが原因ですね。で、たまにこういうパスワードを推測するのが上手な人がいる。パスワードを当てられたことに快感を覚えて、次から次にやってしまうなんて人も出てきています。

 また、従来から「パスワードリスト攻撃」という攻撃もあります。Webサイトなどに不正侵入されて、その際に漏洩したIDやパスワードがブラックマーケット、つまりダークウェブなどで流通しており、購入できるわけですね。それで、買ったIDとパスワードを使って関係ない別のWebサイトで不正ログインを試みる。別のサイトなので、買ったIDとパスワードが当たるかっていうのはまあ様々なんですが、実は結構当たるということがわかってきました。これが2010年ぐらいから段階的に増えてきて、2012年になると、いわゆるパスワードの使い回しは漏洩の大きな原因になっています。

【図1】パスワードリスト攻撃のイメージ(出所:EGセキュアソリューションズ作成)
【図1】パスワードリスト攻撃のイメージ(出所:EGセキュアソリューションズ作成)

 これに対し、IPA(情報処理推進機構)は「パスワードの使い回しは危険なのでやめよう」というキャンペーンを大々的に行い、原宿に巨大な看板を立てて話題になったりもしましたが、実際のところ全然効果がなかったようで、パスワードの使い回しはもう止められないことがわかってきました。

 あとはフィッシングですね。メールやショートメッセージで、たとえば「宅配の荷物をお届けに上がりましたが、不在だったので持ち帰りました。こちらに連絡ください」みたいなURLが貼ってある。で、何事かと思ってそのURLを開くと、「オンラインバンキングの不正が行われているのでログインして確認しろ」みたいな画面が出てくる。そこでIDとパスワードを入力するとこれが偽サイトで、そのままIDとパスワードが盗まれてしまいます。場合によっては、クレジットカード番号が盗まれてしまうこともあります。

図2:フィッシングのイメージ(出所:IPA)
【図2】フィッシングのイメージ(出所:IPA

 攻撃の手法には、ここまで紹介したような稚拙なものも実はたくさんあって、これらはメールやメッセージをよく見ていれば、全然辻褄が合っていないことに簡単に気付けます。もちろん、マスコミなどがよく取り上げるような非常に精密な攻撃手法もありますが。ただ、稚拙なものでもかなり騙される人がいるということがわかってきたんですね。

 たとえばフィッシングというのは、インターネットの利用が始まった20年以上前から存在しますが、一向に利用者側の対策は進みません。ですから「もう無理」ということで、フィッシングに強い認証方式へ移行しなければいけない状況になっています。

 整理すると、パスワード認証というのは原理的にはそう悪くない認証方式だったはずなのですが、3つの問題があります。

  1. どうしても安易なパスワードをつけてしまう
  2. 安易でないにしてもパスワードを使い回す人がいる
  3. 仮に使い回しがなかったとしてもフィッシングに引っかかってしまう

 いずれかに当てはまれば、もう不正ログインされてしまいます。今どきはQRコード決済などが普及しているため、パスワードが破られると現金被害に直結してしまうかもしれません。あるいは個人情報が漏洩したことや、漏洩したことによる精神的ショックですね。これも非常に大きいでしょう。

次のページ
パスワード認証に代わる方法、どれも課題だらけ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19540 2024/04/26 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング