「パスワード使い回し不可」ではもう防げない
NRIセキュアテクノロジーズは、野村総合研究所グループの情報セキュリティ専門の中核企業として、コンサルティング、ソリューション、運用監視サービスの3事業を軸に企業の情報セキュリティ課題をワンストップで解決してきた。
大島氏が所属するソリューション事業では外部攻撃対策として「攻撃から守る」「拡大を防ぐ」「異常に気づく」のそれぞれにソリューションを持ち、その最適化によって企業それぞれのニーズやリスクに合わせたセキュリティサービスとして提供している。
今回は特に外部公開されているWebサービスに対する不正アクセス、たとえば「なりすまし」や「アカウント乗っ取り」による攻撃への対策として「異常に気づく」ための施策について紹介された。
NRIセキュアテクノロジーズ株式会社 ソリューション事業本部
ソリューションビジネス一部 大島 修氏
そもそも不正アクセスの被害の現状はどうなっているのだろうか。警視庁の広報資料「平成27年における不正アクセス行為の発生状況等の公表について」では、2011年以来国内の不正アクセス被害の認知件数が高いことを示しており、2014年をピークに2015年は減少しているものの、それは不正プロバイダの一斉摘発の影響であり、実質はいまだ高い水準にあると考えられる。さらに、その3/4が「インターネットバンキングでの不正送金」であり、次いでオンラインショップでの不正購入、オンラインゲームやコミュニティサイトの不正操作が続く。
それでは、いったいID/パスワードはどこから漏れるのだろうか。まずWebサイトからダウンロードしたファイルやメール添付されてきた「ウイルス・マルウェアに感染」したことによるもの。そして、人気アプリに便乗した悪質なスマホアプリ・偽アプリによるもの。また匿名プロキシや無防備な公衆Wifi等の通信中継機器から漏れるケース、フィッシングサイトでつい入力したり、ソーシャルエンジニアリングで誕生日等から推測されたりということもあるだろう。
その中で最も大規模な漏洩リスクをはらんでいるのが「他サービスからの漏洩」だ。報道される情報漏洩ニュースのほとんどがこちらに該当し、その規模も数千万、数億という大量流出であることが多い。流出した情報はブラックマーケットで売買されており、攻撃者が容易に情報にアクセス可能となっている。こうして漏れた情報は、リスト型アカウントハッキングに使用されるアカウント情報の源泉となっているというわけだ。となれば、もうその情報の流通は止めようがない。
それでは不正アクセスに備えるために、個人や企業はどうすればいいのだろうか。基本的なユーザー側の対策として、パスワードの使い回しをしない、定期的にパスワードを変更する、推測されにくいパスワードを選ぶ、怪しいメール添付ファイルを開かない、アンチウイルスソフトを最新化しておくなどがある。
しかし、他サービスからの漏洩に対して最も実効性が高いと思われる「パスワードの使い回しをしない」は、実際には一般ユーザーが覚えられるパスワードは3つが限度とされており、約7割のユーザーが複数のサイトで同じパスワードを使い回しているという回答からもうかがえるように、実は現実的ではない。また、強制的にパスワードを定期変更させても、煩雑さから簡単な類推しやすいものになってしまう恐れがある。
近年では金融機関を中心に、ワンタイムパスワードトークンや多経路認証等の認証強化がなされているが、時にユーザビリティを極端に損ねることになり、サービス離反につながる恐れがあることから、セキュリティとユーザビリティを高度にバランスを取ることが必要だという。
それでは既存の境界防御対策はどこまで有効なのか。FireWall/IPS/IDSまたはWAFでは人の手によるなりすましログインにはまず無効であり、リスト型アカウントハッキングでも短期的には可能であっても長期スパンで見ると防御が難しい。
本記事の講演資料『アカウントハッキング対策の最前線!~アカウント振る舞い分析で不正アクセスを検知する~』(全31頁、PDF版)を無料ダウンロードいただけます!
リスト型アカウントハッキングに代表されるWebサイトへの不正アクセスと、その後の被害が後を絶ちません。今後は、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化する対策の重要性が一層重要となります。本講演資料では、業務的な重要度に応じた認証レベルを定義するとともに、アイデンティティの振る舞いに注目した不正アクセスを検知するフレームワークと、未知の脅威に対し、PDCAサイクルで対策を打ち続ける必要性を分かりやすく解説しています。
コンテクストから不正アクセスを検知する
そうした状況下で、2012年のGartnerのレポートの中で「アイデンティティが新たな境界防御になる」と提唱している。つまり、システムが提供するリソース/サービスに対するアクセス・セキュリティは、ユーザーのアイデンティティによって制御されるべきという考え方だ。つまり、高度化する不正アクセス対策には、アイデンティティをベースにした新たな境界防御が必要というわけである。
そこでアイデンティティの振る舞いを分析し、不正アクセスの検知を行うソリューションとして、NRIセキュアテクノロジーズから紹介されたのが「Uni-ID Identity Fraud Detection (Uni-ID IFD) 」である。
「Uni-ID IFD」は、運営するWebサイトに訪れる様々なユーザーごとにアクセスログを収集し、またはリスク判定APIを備えており、APIに対してWebアクセスの属性情報を入力すると、リスク判定エンジンによって来たアクセスが危ないかどうか、どのくらいのレベルなのか判定して返すという仕組みになっている。そのレベルによって、追加の認証を求めたり、ブロックしたりしてくれるというわけだ。また、どういう人が来ているのか、どのくらい問題があるのかをリアルタイムで閲覧できる「統計情報ダッシュボード」が備えられている。
なお「Uni-ID IFD」はGartnerによるオンライン不正検知の5階層モデルのレイヤ1~4をカバーするソリューションである。つまり、アクセスもとのPCなどエンドポイント分析(レイヤ1)、特定セッションへのページ遷移に基づくナビゲーション分析(レイヤ2)、ユーザーの振る舞いに基づくユーザー分析(レイヤ3)、そして複数のシステムにまたがるユーザーの振る舞いを見るクロスチャネル分析(レイヤ4)をカバーするというわけだ。複数のシステムとユーザーにまたがる共謀等による不正を検出する(レイヤ5)のみ対応していない。
それでは正当なユーザーと攻撃者を峻別する際、コンテクストとして活用できる情報にはどのようなものがあるのか。大島氏は図のような6つの属性を紹介した。
出所:NRIセキュアテクノロジーズ株式会社 Security Online Day 2016
講演資料より[クリックすると図が拡大します]
もちろんこうしたコンテクスト情報のみで、すぐに不正アクセスか否かが判定できるわけではない。しかし、怪しさのレベル感としてのスコアが示されることで、リスク判別の手がかりとすることが可能になるというわけだ。
また、「Uni-ID IFD」はトランザクションの重要度と不正疑い度合いにより、リスクランクを判定するという仕組みになっている。つまり、縦軸にトランザクションの影響度、横軸にトランザクションの不正疑いの度合いをおいて、そのかけ算で危なさのレベルを判定しようというものだ。
それはリスクベース認証への応用、セキュリティとユーザビリティのバランスを取りながら要求する認証レベルを当てはめていく。たとえば、リスクが低ければIDとパスワードだけでOKとし、リスクが高ければ、複数・多経路認証にというように調整するのが妥当というわけだ。
出所:NRIセキュアテクノロジーズ株式会社 Security Online Day 2016
講演資料より[クリックすると図が拡大します]
また、リスクのモニタリングとして、時系列アクセス傾向や不正の疑いのあるIPアドレス、ユーザーID、UAリストの表示、攻撃パターン別のヒット件数や不正アクセス元の地理情報マッピング等の情報を視覚的に画面上で閲覧できる「ダッシュボード」も「Uni-ID IFD」の機能の1つとして提供される。
こうした「Uni-ID IFD」の機能をまとめると、機械攻撃からなりすましまで幅広くカバーするID系攻撃に対応するルール・テンプレートを持っており、お客様のWebサイトのアクセス傾向に応じた閾値設定や、不正取引の判定基準などを柔軟にカスタマイズすることができる。さらに、一度こうした仕組みを得たら終るのではなく、巧妙化する脅威に対して常に高い検知力を保持するために継続的なルールチューニングサービスも提供されている。
本記事の講演資料『アカウントハッキング対策の最前線!~アカウント振る舞い分析で不正アクセスを検知する~』(全31頁、PDF版)を無料ダウンロードいただけます!
リスト型アカウントハッキングに代表されるWebサイトへの不正アクセスと、その後の被害が後を絶ちません。今後は、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化する対策の重要性が一層重要となります。本講演資料では、業務的な重要度に応じた認証レベルを定義するとともに、アイデンティティの振る舞いに注目した不正アクセスを検知するフレームワークと、未知の脅威に対し、PDCAサイクルで対策を打ち続ける必要性を分かりやすく解説しています。
継続的認証など検知の高度化を意識すべし
大島氏は「まだ製品で実現はできていないが」と前置きしながらも、今後、こうした不正アクセスの検知を高度化するために注目すべき事項として「継続的認証の考え方」を紹介した。つまり、ユーザーがログインした後も、本当に正しい当人が使っているのかどうか絶え間なく検証するという考え方だ。ユーザーのキーボードやマウスなどの“振る舞い”を検証することで、本人との整合性を見ようというものである。
その背景には、シングルサインオンやOpenIDなどの普及で、1回の認証で多彩なサービスが受けられ、ユーザーの利便性は高まっている。しかし、それは1回の認証に頼ることになり、いざ不正が行われると大きな被害が生じる可能性がある。そこで定期的に本認証を確認し、怪しい時には追加認証を行うことが重要となってくるのは間違いないというわけだ。
また、昨今では機械学習を活用し、攻撃者のパターンを検知するという技術も登場している。しかし、定常状態と異常状態の分類がポイントであり、そこにノイズデータを流されると精度が下がることになる。近年では、攻撃者側も大規模なBotnetや機械学習エンジンを利用できる環境にあるため、いたちごっこになる可能性があるという。
大島氏は最後に「セキュリティシステムは一度入れたらそれで完了ではなく、常に継続した長い戦いとして捉えることが重要」と強く訴え、セッションのまとめの言葉とした。
NRIセキュアテクノロジーズ株式会社 ソリューション事業本部
ソリューションビジネス一部 大島 修氏
本記事の講演資料『アカウントハッキング対策の最前線!~アカウント振る舞い分析で不正アクセスを検知する~』(全31頁、PDF版)を無料ダウンロードいただけます!
リスト型アカウントハッキングに代表されるWebサイトへの不正アクセスと、その後の被害が後を絶ちません。今後は、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化する対策の重要性が一層重要となります。本講演資料では、業務的な重要度に応じた認証レベルを定義するとともに、アイデンティティの振る舞いに注目した不正アクセスを検知するフレームワークと、未知の脅威に対し、PDCAサイクルで対策を打ち続ける必要性を分かりやすく解説しています。
