3月1日に「ID・パスワード管理の実状」という記事を掲載をしましたが、 記事にありますとおり、パスワードの設定のルールを「パスワードは誕生日など推測されやすいものを避けて設定している」ユーザが47%、「パスワードはわかりにくい文字列(8文字以上、記号含む)にしている」ユーザが46%と約半数が対応していますが、「サービス毎に異なるパスワードを設定している」ユーザは約1/4が対応しているにとどまっております。
最近では、このID・パスワードによる認証の限界を感じさせるような様々なクラッキング事件が発生しており、 これらの脅威から大切な情報資産を守るための手段として、認証方法を複数設定することは有効な手段といえます。
今回は、IDとパスワードを狙ったクラッキングの代表的な例もご紹介しながら、認証方法を複数設定する多要素認証の有効性について解説します。
ID・パスワードによる認証方法が危険にさらされるケース
社内でも、特にセキュリティを意識しないといけない経理関連や社内の機密事項に関わる部署以外の人たちは、IDとパスワードは個人個人がしっかりと管理をしていれば大丈夫、と思ってしまいがちです。しかし、IDとパスワードをいくら個人的にしっかり管理をしていても重大な危険にさらされてしまった例が近年多数報告されています。IDとパスワードを狙ったクラッキングの代表的方法を整理すると、下記のようになります。
ID・パスワードクラックの例
総当たり攻撃
パスワードに使える文字はたくさんあるように見えても、英数字や記号など有限です。有限であるということは、コンピュータにパスワードを生成させるプログラムを組んでおいて、そのままプログラムを走らせておけばいつかはパスワードが解読されてしまいます。言い換えれば、時間はかかりますがパスワードは100%解読されてしまうものだということを認識しておきましょう。
類推攻撃
総当たり攻撃と同じく次々と候補を試していく方法ですが、攻撃対象ごとに候補となるパスワードをあらかじめ絞り込んでおきます。例えば、会社名の一部をパスワードにしている会社員のIDを標的とした場合などでは、総当たり攻撃に比べて短い時間でパスワードが破られてしまいます。
辞書攻撃
辞書攻撃も候補となるパスワードをあらかじめ絞り込んでおく方法の一種で、パスワードにpasswordもしくはmypasswordなどの文字を使ってしまったり、GoodMorning などの英語の辞書に載っているような単語やフレーズが標的になったりします。メモなしでもパスワードを忘れにくいようにしたい、と考えているユーザが狙われやすいといえます。
逆総当たり攻撃
総当り攻撃の変形版として、1つのパスワードでIDを次々と変え不正ログインを試みる「逆総当たり攻撃」があります。IDに対して次々に総当りをかけると、システム側で異常を検知してアカウントを自動的にロックしますが、この「逆総当たり攻撃」の場合には、1つのアカウントに対して用意したパスワードが当てはまらなかった場合、パスワードはそのままにして次のアカウントを標的にします。つまり、ログイン認証エラーは1回しか出ませんので、システムがアカウントをロックすることなく、攻撃が続行されてしまいます。
ID・パスワードよりも有効な「多要素認証」とは何か
コンピュータによるパスワードクラッキングの標的にされてしまうと、「IDとパスワードは、個人がきちんと管理していれば大丈夫」とはいえない、ということがお分かりいただけたと思います。それでは、IDとパスワードによる認証要素以外にどのような有効な方法があるのでしょうか。
認証に使われる要素を分類すると、「ユーザだけが知っていること」、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」の3種類に分けられます。例えば今見てきたようなパスワードは「ユーザだけが知っていること」に該当します。
IDとパスワードによる認証に限界があるといっても、「ID+パスワード」の管理を直ちにやめる必要はありません。この「ユーザだけが知っていること(パスワード)」と一緒に、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」などを組み合わせる(多要素にする)ことで、よりセキュアな認証が実現できます。
ここで、それぞれの要素を整理しておきましょう。
多要素認証の種類
ユーザだけが知っていること
パスワードや秘密の合言葉(例:自分の母親の旧姓)などユーザだけが知っている認証要素です。文字数を多くしたり、大文字小文字を混在させたり、記号を入れたりするなどで複雑に見せかけることはできますが、文字や記号は有限個なので、いつかは破られる可能性は否定できません。
ユーザだけが持っている物
ユーザだけが持っている乱数表や、刻々と変化するワンタイムパスワードを表示するトークンなどがあります。銀行口座にログインするときなどはこの方法がよく使われます。また、スマートフォンがかなり普及しましたので、ワンタイムパスワードや追加認証番号などをユーザが所有するスマートフォン宛に送付するということも増えてきています。また電子証明書やそれが格納されているICカードなども持っている物の中に入ってきます。
ユーザ自身の身体的特徴
指紋、静脈パターン、顔認証、眼の網膜や光彩などの身体的特徴を利用する方法で、従来はあまり一般的ではありませんでしたが、これもスマートフォンの普及により、指紋認証や顔認証が手軽に行えるようになってきています。
この3要素ですが、「ユーザだけが知っていること」であるパスワードだけではセキュリティ的に不十分であるのと同様、「ユーザだけが持っている物」や「ユーザ自身の身体的特徴」の1要素だけでも、十分にセキュアとはいえません。
たとえば銀行から郵送されてきた乱数表を自宅のポストで詐取されてしまったりした場合には、乱数表自体は悪意のある第三者の手元にあることになります。また、指紋認証なども第三者に無理やり自分の指を掴んで押されてしまう、というケースも想像できなくはありません。
「ユーザだけが知っていること」、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」の3要素を効果的に組み合わせることによって、認証のセキュリティは格段に上がるのです。
多要素認証と多段階認証の違いを知っておこう
ここでよく勘違いされがちな「多要素認証」と「多段階認証」の違いについて、知っておきましょう。例えば、認証が通るまでに最初に「暗証番号」を入れて次に「生年月日」を入れて、最後に「郵便番号」を入れるというケースがあります。これはたくさんの認証を行っているので「多要素認証」のように思ってしまいがちですが、違うのです。
「暗証番号」「生年月日」「郵便番号」は、すべて「ユーザだけが知っていること」ですので、例えば、住民票などを手に入れられた上で暗証番号を総当りでクラッキングされてしまうと、すべての認証が悪意のある第三者によって可能になってしまいます。
「暗証番号」を入れた上で、「ユーザだけが持っている物」であるスマホにキーコードが送られてくる、もしくは、「ユーザ自身の身体的特徴」である指紋認証を行う、などが「多要素認証」に該当します。「暗証番号」「生年月日」「郵便番号」などを次々と求めるのは1要素の中で段階を多くしている「多段階認証」ですので、違いに注意しましょう。
もちろん「多要素認証」の方がセキュリティ度は高いといえます。
認証における要素と方法
要素 | 情報 |
---|---|
ユーザだけが知っていること | パスワード 暗証番号 秘密の質問 |
ユーザだけが持っている物 | ICカード セキュリティトークン USBトークン スマートフォンアプリ 電子証明書 |
ユーザ自身の身体的特徴 | 指紋 静脈 網膜・光彩 |
セキュリティ強化のため、ID・パスワード以外の認証方法の導入を
以上、一般的に使われているIDとパスワードによる認証には限界があることがお分かりいただけたと思います。そして対策として有効なのは「多要素認証」を導入することです。
具体的には「ユーザだけが知っていること」、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」の3要素のうち、「ユーザだけが知っていること」は従来のIDとパスワードによる管理を継続し、「ユーザだけが持っている物」については、ICカード、セキュリティトークン、USBトークン、乱数表やワンタイムパスワード管理アプリ、電子証明書などの導入、「ユーザ自身の身体的特徴」に関しては、指紋、静脈、網膜・光彩などの生体認証リーダーや、スマホを使った認証アプリなどの導入の検討が考えられます。
多要素認証の導入に際して、社内向けの認証に導入する場合と、社外の取引先との認証強化に導入する場合、さらには一般コンシューマ向けサービスの認証強化における導入では選ぶべき要素が異なってくるでしょう。
これらケースごとの要素の選択や、求められるセキュリティの度合いによって、最適なセキュアな認証方法を確立してください。