現在も多くの企業はクラウドサービス、VPN、そして他の経営データへのアクセスを管理するために今でもパスワードだけの一要素認証に頼っています。しかし近年、不正アクセスが増えていることからも、パスワードだけでは不十分だということが明らかです。
当ブログでは一般的なパスワードシステムを使うことで起こる主なリスクを紹介します。
パスワードの再利用
数字とアルファベットが入り混じったパスワードを一つ覚えるだけでも大変ですが、ウェブ上で使う他のサービス一つ一つに異なるパスワードを作り、覚えるのはさらに大変なことです。
その結果、多くのユーザは頻繁に一つのパスワードを使いまわしています。ある調査によると61%以上もの人が該当するそうです。
これでは、どれか一つでもサービスが危険にさらされた時に、大きな問題になることを意味します。万が一、そのパスワードがE-mailやVPNなどにアクセスするためのものと同じだった場合、あなたの組織は攻撃されるかもしれません。
ソーシャル・エンジニアリング
ネット上に溢れている大量の個人情報は、ソーシャル・エンジニアリングを駆使した攻撃者にとって、パスワードの取得やアカウントへのアクセスを非常に簡単にしています。攻撃者はターゲットについて調べ、得た情報を使ってターゲットに合わせた攻撃方法を考えます。メールの受取人にとって信憑性のありそうなフィッシングメールを作成して送信、テクニカルサポートに扮してセキュリティに関する質問の答えをターゲットから騙し取ってパスワード入力を回避するなどといった事例があります。
例えば、数年前ではありますが、Wired社のレポーターがiCloudのアカウント情報をハッキングされ、
彼の所有していたiPhone、iPad、MacBook Airのすべてを遠隔データ消去(ワイプ)された事件がありました。
「パスワードはアルファベットと数字を組み合わせた7桁で非常に安全なものであり、使い回しも一切していなかったとのことでした。巧妙なソーシャル・エンジニアリングとApple技術サポートを利用してセキュリティに関する質問を聞き出し、ブルートフォースでパスワードを破られたのでは。」と本人は述べています。
ソーシャル・エンジニアリングはますますニュースに取り上げられており、パスワードだけに頼っているユーザに対して脅威となっています。
ウェブサイトのフォーム入力情報を盗むマルウェア
ハッカーの攻撃法は以前に比べ、工夫を凝らした複雑な攻撃法になりました。
数年前に中間者攻撃「Citadel Trojan」という手法により、無名のとある空港のVPNが攻撃され、被害に遭う事件がありました。ウェブサイトのフォームに入力された情報を盗むマルウェアによって空港の従業員のユーザネームとパスワードが盗まれ、VPNにアクセスされたのです。
まとめ
上記で説明した通り、セキュリティ対策をパスワードだけに依存すると、悪意のある第三者から攻撃されやすくなります。電子証明書を用いた二要素認証を活用してセキュリティを強化することにより、上記で述べたようなハッキングを防ぐことが可能になります。
二要素認証は一要素認証でも必要なユーザネームとパスワードの情報だけでなく、その名の通りアクセスするには電子証明書の有無などといったもう一つの要素が必要になります。電子証明書だけでなく、ワンタイムパスワードや生体認証なども二要素認証として活用でき、これによりアクセス認証を強化できるのです。