「パスワード使い回し不可」ではもう防げない
NRIセキュアテクノロジーズは、野村総合研究所グループの情報セキュリティ専門の中核企業として、コンサルティング、ソリューション、運用監視サービスの3事業を軸に企業の情報セキュリティ課題をワンストップで解決してきた。
大島氏が所属するソリューション事業では外部攻撃対策として「攻撃から守る」「拡大を防ぐ」「異常に気づく」のそれぞれにソリューションを持ち、その最適化によって企業それぞれのニーズやリスクに合わせたセキュリティサービスとして提供している。
今回は特に外部公開されているWebサービスに対する不正アクセス、たとえば「なりすまし」や「アカウント乗っ取り」による攻撃への対策として「異常に気づく」ための施策について紹介された。
NRIセキュアテクノロジーズ株式会社 ソリューション事業本部
ソリューションビジネス一部 大島 修氏
そもそも不正アクセスの被害の現状はどうなっているのだろうか。警視庁の広報資料「平成27年における不正アクセス行為の発生状況等の公表について」では、2011年以来国内の不正アクセス被害の認知件数が高いことを示しており、2014年をピークに2015年は減少しているものの、それは不正プロバイダの一斉摘発の影響であり、実質はいまだ高い水準にあると考えられる。さらに、その3/4が「インターネットバンキングでの不正送金」であり、次いでオンラインショップでの不正購入、オンラインゲームやコミュニティサイトの不正操作が続く。
それでは、いったいID/パスワードはどこから漏れるのだろうか。まずWebサイトからダウンロードしたファイルやメール添付されてきた「ウイルス・マルウェアに感染」したことによるもの。そして、人気アプリに便乗した悪質なスマホアプリ・偽アプリによるもの。また匿名プロキシや無防備な公衆Wifi等の通信中継機器から漏れるケース、フィッシングサイトでつい入力したり、ソーシャルエンジニアリングで誕生日等から推測されたりということもあるだろう。
その中で最も大規模な漏洩リスクをはらんでいるのが「他サービスからの漏洩」だ。報道される情報漏洩ニュースのほとんどがこちらに該当し、その規模も数千万、数億という大量流出であることが多い。流出した情報はブラックマーケットで売買されており、攻撃者が容易に情報にアクセス可能となっている。こうして漏れた情報は、リスト型アカウントハッキングに使用されるアカウント情報の源泉となっているというわけだ。となれば、もうその情報の流通は止めようがない。
それでは不正アクセスに備えるために、個人や企業はどうすればいいのだろうか。基本的なユーザー側の対策として、パスワードの使い回しをしない、定期的にパスワードを変更する、推測されにくいパスワードを選ぶ、怪しいメール添付ファイルを開かない、アンチウイルスソフトを最新化しておくなどがある。
しかし、他サービスからの漏洩に対して最も実効性が高いと思われる「パスワードの使い回しをしない」は、実際には一般ユーザーが覚えられるパスワードは3つが限度とされており、約7割のユーザーが複数のサイトで同じパスワードを使い回しているという回答からもうかがえるように、実は現実的ではない。また、強制的にパスワードを定期変更させても、煩雑さから簡単な類推しやすいものになってしまう恐れがある。
近年では金融機関を中心に、ワンタイムパスワードトークンや多経路認証等の認証強化がなされているが、時にユーザビリティを極端に損ねることになり、サービス離反につながる恐れがあることから、セキュリティとユーザビリティを高度にバランスを取ることが必要だという。
それでは既存の境界防御対策はどこまで有効なのか。FireWall/IPS/IDSまたはWAFでは人の手によるなりすましログインにはまず無効であり、リスト型アカウントハッキングでも短期的には可能であっても長期スパンで見ると防御が難しい。
本記事の講演資料『アカウントハッキング対策の最前線!~アカウント振る舞い分析で不正アクセスを検知する~』(全31頁、PDF版)を無料ダウンロードいただけます!
リスト型アカウントハッキングに代表されるWebサイトへの不正アクセスと、その後の被害が後を絶ちません。今後は、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化する対策の重要性が一層重要となります。本講演資料では、業務的な重要度に応じた認証レベルを定義するとともに、アイデンティティの振る舞いに注目した不正アクセスを検知するフレームワークと、未知の脅威に対し、PDCAサイクルで対策を打ち続ける必要性を分かりやすく解説しています。
